Documente Academic
Documente Profesional
Documente Cultură
Firewall Manager, y
AWS Shield Advanced
Guía del desarrollador
Versión de API 2019-07-29
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
AWS WAF, AWS Firewall Manager, y AWS Shield Advanced: Guía del
desarrollador
Copyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,
in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits
Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not
be affiliated with, connected to, or sponsored by Amazon.
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Table of Contents
¿Qué son AWS WAF, AWS Shield y AWS Firewall Manager? ................................................................... 1
AWS Shield ............................................................................................................................... 2
AWS Firewall Manager ................................................................................................................ 2
¿Cuál debería elegir? .................................................................................................................. 2
........................................................................................................................................ 2
Configuración ..................................................................................................................................... 3
Paso 1: Inscribirse en una cuenta de AWS .................................................................................... 3
Paso 2: Cree un usuario de IAM .................................................................................................. 3
Paso 3: Descargar las herramientas .............................................................................................. 5
AWS WAF ......................................................................................................................................... 7
Funcionamiento de AWS WAF ..................................................................................................... 7
Unidades de capacidad de ACL web (WCU) de AWS WAF ....................................................... 8
Precios de AWS WAF ......................................................................................................... 8
Introducción a AWS WAF ............................................................................................................ 9
Paso 1: Configurar AWS WAF .............................................................................................. 9
Paso 2: Crear una ACL web ................................................................................................ 9
Paso 3: Añadir una regla de coincidencia de cadena .............................................................. 10
Paso 4: Añadir un Grupo de reglas de Reglas administradas por AWS ...................................... 11
Paso 5: Finalización de la configuración de ACL web ............................................................. 12
Paso 6: Eliminación de recursos ......................................................................................... 12
Sugerencias para migrar sus recursos de AWS WAF Classic a AWS WAF ........................................ 13
Administración y uso de una lista de control de acceso web (ACL web) ............................................. 14
Cómo AWS WAF procesa una ACL web .............................................................................. 15
Uso de ACL web .............................................................................................................. 16
Grupos de reglas ...................................................................................................................... 23
Grupos de reglas administrados .......................................................................................... 24
Administración de sus propios grupos de reglas .................................................................... 32
Administrar el comportamiento del grupo de reglas en una ACL Web ........................................ 33
Reglas ..................................................................................................................................... 34
Nombre de la regla ........................................................................................................... 35
Acción de la regla ............................................................................................................. 35
Declaraciones de reglas ..................................................................................................... 36
Conjuntos de IP y de patrones de expresiones regex ..................................................................... 50
Creación y administración de un conjunto de IP .................................................................... 51
Creación y administración de un conjunto de patrones de expresiones regex .............................. 53
Registro de información del tráfico de la ACL web ......................................................................... 55
Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia ............................... 59
Cómo funciona AWS WAF con Características Amazon CloudFront .................................................. 59
Uso de AWS WAF con CloudFront con páginas de error personalizadas .................................... 60
Uso de AWS WAF con restricción geográfica de CloudFront .................................................... 60
Uso de AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor
HTTP .............................................................................................................................. 60
Elección de los métodos HTTP a los que CloudFront responde ................................................ 61
Seguridad ................................................................................................................................ 61
Protección de los datos ..................................................................................................... 62
Identity and Access Management ........................................................................................ 63
Registro y monitorización ................................................................................................... 77
Validación de la conformidad .............................................................................................. 78
Resiliencia ....................................................................................................................... 78
Seguridad de la infraestructura ........................................................................................... 78
Cuotas de AWS WAF ................................................................................................................ 79
AWS WAF Classic ............................................................................................................................ 81
Configuración de AWS WAF Classic ............................................................................................ 81
Paso 1: Inscribirse en una cuenta de AWS ........................................................................... 82
En el nivel más sencillo, AWS WAF le permite elegir uno de los siguientes comportamientos:
• Permitir todas las solicitudes, excepto las que especifique–: esto es útil si quiere que CloudFront o un
Balanceador de carga de aplicaciones distribuyan contenido para un sitio web público y si, además,
quiere bloquear las solicitudes de atacantes.
• Bloquear todas las solicitudes, excepto las que especifique–: esto es útil si quiere distribuir contenido a
un sitio web restringido cuyos usuarios se puedan identificar fácilmente por medio de propiedades de las
solicitudes web, como las direcciones IP que utilizan para navegar en el sitio web.
• Contar las solicitudes que coincidan con las propiedades que especifique–: si desea permitir o bloquear
solicitudes en función de las nuevas propiedades de las solicitudes web, primero puede configurar AWS
WAF para que cuente las solicitudes que coincidan con esas propiedades, sin permitirlas ni bloquearlas.
Esto le permite confirmar que no configuró AWS WAF accidentalmente para que bloquease todo el
tráfico a su sitio web. Cuando esté seguro de que ha especificado las propiedades correctas, puede
cambiar el comportamiento para permitir o bloquear solicitudes.
• Protección adicional frente a ataques web gracias al uso de condiciones especificadas. Puede definir
condiciones usando características de solicitudes web, como las siguientes:
• Direcciones IP de origen de las solicitudes.
• País de origen de las solicitudes.
• Valores indicados en los encabezados de solicitudes.
• Cadenas que aparecen en las solicitudes, ya sean cadenas específicas o cadenas que coinciden con
patrones de expresiones regulares (regex).
• Longitud de las solicitudes.
• Presencia de código SQL que probablemente sea malintencionado (conocido como inyección de
código SQL).
• Presencia de un script que probablemente sea malintencionado (conocido como scripting entre sitios).
• Reglas que pueden permitir, bloquear o contar solicitudes web que cumplen las condiciones
especificadas. Además, las reglas pueden bloquear o contar solicitudes web que no solo cumplan las
condiciones especificadas, sino que también superen un número determinado de solicitudes en un
periodo de cinco minutos.
• Reglas que pueda reutilizar para varias aplicaciones web.
• Grupos de reglas administrados de vendedores de AWS y AWS Marketplace.
• Métricas y solicitudes web muestreadas en tiempo real.
• Administración automatizada mediante la API de AWS WAF.
AWS Shield
Puede utilizar las listas de control de acceso web (ACL web) de AWS WAF como ayuda para minimizar
los efectos de un ataque de denegación de servicio distribuido (DDoS). Para protección adicional frente a
los ataques DDoS, AWS también proporciona AWS Shield Standard y AWS Shield Advanced. AWS Shield
Standard se incluye automáticamente sin costo adicional alguno, aparte de lo que ya haya pagado por
AWS WAF y los demás servicios de AWS. AWS Shield Advanced proporciona una mayor protección contra
ataques DDoS para las instancias de Amazon EC2, balanceadores de carga de Elastic Load Balancing
distribuciones de CloudFront y zonas hospedadas de Route 53. AWS Shield Advanced genera cargos
adicionales.
Para obtener más información sobre AWS Shield Standard y AWS Shield Advanced, consulte AWS
Shield (p. 272).
Para obtener más información acerca de Firewall Manager, consulte AWS Firewall Manager (p. 220).
Todo comienza con AWS WAF. Puede automatizar y, a continuación, simplificar la administración de AWS
WAF con AWS Firewall Manager. Shield Advanced añade características adicionales a AWS WAF, soporte
dedicado del equipo de respuesta de DDoS (DRT) e informes avanzados.
Si desea un control detallado sobre la protección que se añade a sus recursos, AWS WAF por sí solo es la
opción más adecuada. Si desea utilizar AWS WAF entre cuentas, acelerar la configuración de AWS WAF o
automatizar la protección de nuevos recursos, utilice de Firewall Manager con AWS WAF.
Por último, si posee sitios web de alta visibilidad o sufre ataques DDoS frecuentes, debería plantearse
comprar las características adicionales que proporciona Shield Advanced.
Note
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el
plan Enterprise Support.
Configuración
En este tema se describen los pasos preliminares, como la creación de una cuenta de AWS, para
prepararle para el uso de AWS WAF, AWS Firewall Manager y AWS Shield Advanced. No se cobrará
por configurar esta cuenta y otros elementos preliminares. Solo se cobrará por los servicios de AWS que
utilice.
Después de realizar estos pasos, consulte Introducción a AWS WAF (p. 9) para continuar con la
introducción a AWS WAF.
Note
AWS Shield Standard está incluido en AWS WAF y no requiere más configuración. Para obtener
más información, consulte Funcionamiento de AWS Shield (p. 272).
Antes de usar AWS WAF o AWS Shield Advanced por primera vez, realice las siguientes tareas:
Si ya dispone de una cuenta de AWS, pase a la siguiente tarea. Si no dispone de una cuenta de AWS,
utilice el siguiente procedimiento para crear una.
1. Abra https://portal.aws.amazon.com/billing/signup.
2. Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de
verificación en el teclado del teléfono.
A continuación, puede iniciar sesión en la consola de AWS WAF (y las de otros servicios) mediante una
URL especial y la credenciales del usuario de IAM. También puede añadir otros usuarios a la cuenta de
usuario de IAM y controlar su nivel de acceso a los servicios de AWS y a sus recursos.
Note
Para obtener más información sobre la creación de claves de acceso para acceder a AWS WAF
utilizando AWS Command Line Interface (AWS CLI), Herramientas para Windows PowerShell,
los SDK de AWS o la API AWS WAF, consulte Administración de las claves de acceso de los
usuarios de IAM.
Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo en la consola de
IAM. Si no está familiarizado con el uso de la consola, consulte Trabajar con la Consola de administración
de AWS para obtener una visión general.
1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión
como Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/
iam/.
Note
Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la los
permisos AdministratorAccess para el acceso a la consola de AWS Billing and Cost
Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre
cómo delegar el acceso a la consola de facturación.
12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es
necesario para ver el grupo en la lista.
Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso
a los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringen
los permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticas
de ejemplo.
Para iniciar sesión como un nuevo usuario de IAM, cierre antes la sesión en la consola AWS. A
continuación, use la URL siguiente, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin
guiones. Por ejemplo, si el número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS es
123456789012:
https://your_aws_account_id.signin.aws.amazon.com/console/
Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en
la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".
Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,
puede crear un alias de cuenta. En el panel IAM, seleccione Customize (Personalizar) y especifique un
alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la
siguiente dirección URL:
https://your_account_alias.signin.aws.amazon.com/console/
Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAM y
consulte el enlace de inicio de sesión de los usuarios de IAM en el panel.
Después de realizar estos pasos, puede dejarlo aquí e ir a Introducción a AWS WAF (p. 9) para
continuar con la introducción a AWS WAF utilizando la consola. Si desea obtener acceso a AWS WAF
mediante programación mediante la API de AWS WAF, continúe con el siguiente paso, Paso 3: Descargar
las herramientas (p. 5).
• Si desea usar la API de AWS WAF sin tratar con detalles de bajo nivel, como el ensamblaje de
solicitudes HHTP sin procesar, puede utilizar un SDK de AWS. Los SDK de AWS ofrecen funciones y
tipos de datos que incorporan la funcionalidad de AWS WAF y otros servicios de AWS. Para descargar
un SDK de AWS, consulte la página correspondiente, que también incluye requisitos previos e
instrucciones de instalación:
• Java
• JavaScript
• .NET
• Node.js
• PHP
• Python
• Ruby
Para obtener una lista completa de los SDK de AWS, consulte Herramientas para Amazon Web
Services.
• Si AWS no incluye un SDK para el lenguaje de programación que utiliza, la Referencia de la API de AWS
WAF recoge las operaciones admitidas por ese AWS WAF.
• AWS Command Line Interface (AWS CLI) admite AWS WAF. La AWS CLI permite controlar varios
servicios de AWS desde la línea de comandos y automatizarlos mediante scripts. Para obtener más
información, consulte AWS Command Line Interface.
• Herramientas de AWS para Windows PowerShell admite AWS WAF. Para obtener más información,
consulte Herramientas de AWS para PowerShell Cmdlet Reference.
AWS WAF
AWS WAF es un firewall de aplicaciones web que le permite monitorizar las solicitudes HTTP y HTTPS
que se reenvíen a una distribución de Amazon CloudFront, una API de Amazon API Gateway o una
instancia de Balanceador de carga de aplicaciones.
AWS WAF también permite controlar el acceso a su contenido. En función de las condiciones que
especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas
de consulta, una distribución de Amazon CloudFront, una API de Amazon API Gateway o una instancia
de Balanceador de carga de aplicaciones responde a las solicitudes con el contenido solicitado o con un
código de estado HTTP 403 (Prohibido). También puede configurar CloudFront para devolver una página
de error personalizada cuando se bloquea una solicitud.
Note
También puede utilizar AWS WAF para proteger las aplicaciones que están alojadas en
contenedores Amazon Elastic Container Service (Amazon ECS). Amazon ECS es un servicio de
administración de contenedores muy escalable y rápido que facilita la tarea de ejecutar, detener
y gestionar contenedores de Docker en un clúster. Para utilizar esta opción, debe configurar
Amazon ECS para que utilice un Balanceador de carga de aplicaciones habilitado para AWS WAF
a fin de que dirija y proteja el tráfico HTTP y HTTPS (o de capa 7) de las tareas de su servicio.
Para obtener más información, consulte Balanceo de carga de servicios en la Amazon Elastic
Container Service Developer Guide.
Temas
• Funcionamiento de AWS WAF (p. 7)
• Introducción a AWS WAF (p. 9)
• Sugerencias para migrar sus recursos de AWS WAF Classic a AWS WAF (p. 13)
• Administración y uso de una lista de control de acceso web (ACL web) (p. 14)
• Grupos de reglas (p. 23)
• Reglas de AWS WAF (p. 34)
• Conjuntos de IP y de patrones de expresiones regex (p. 50)
• Registro de información del tráfico de la ACL web (p. 55)
• Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia (p. 59)
• Cómo funciona AWS WAF con Características Amazon CloudFront (p. 59)
• Seguridad en AWS WAF (p. 61)
• Cuotas de AWS WAF (p. 79)
• ACL web: utilice una lista de control de acceso (ACL) web para proteger un conjunto de recursos de
AWS. Cree una ACL web y defina su estrategia de protección mediante la adición de reglas. Las reglas
definen los criterios para inspeccionar las solicitudes web y especifican cómo administrar las solicitudes
que coinciden con estos. Establezca una acción predeterminada para la ACL web que indique si
bloquear o permitir las solicitudes que pasan las inspecciones de reglas.
• Reglas: cada regla contiene una instrucción que define los criterios de inspección y una acción que se
debe realizar si una solicitud web cumple estos criterios. Cuando una solicitud web cumple los criterios,
se produce una coincidencia. Puede utilizar reglas para bloquear solicitudes coincidentes o para permitir
solicitudes coincidentes. También puede usar reglas solo para contar las solicitudes coincidentes.
• Grupos de reglas: puede utilizar reglas individualmente o en grupos de reglas reutilizables. Los
vendedores de Reglas administradas por AWS y AWS Marketplace proporcionan grupos de reglas
administrados para su uso. También puede definir sus propios grupos de reglas.
Después de crear la ACL web, puede asociarla a uno o más recursos de AWS. Los tipos de recursos
que puede proteger mediante ACL web de AWS WAF son distribuciones de Amazon CloudFront, API de
Amazon API Gateway e instancias de Balanceador de carga de aplicaciones.
AWS WAF está disponible en las regiones que se indican en Regiones y puntos de enlace de AWS
• Para una API de API Gateway o una instancia de Balanceador de carga de aplicaciones, puede usar
cualquiera de las regiones de la lista.
• Para distribuciones de CloudFront, AWS WAF está disponible globalmente, pero cuando cree recursos
de AWS para utilizarlos con CloudFront, debe elegir la región US East (N. Virginia). Los recursos de
AWS WAF son ACL web, grupos de reglas, conjuntos de IP y conjuntos de patrones de expresiones
regex.
AWS WAF administra la capacidad de las reglas, grupos de reglas y ACL web:
• Capacidad de regla: AWS WAF calcula la capacidad de regla cuando se crea o actualiza una regla. Para
obtener algunas pautas básicas sobre los requisitos de la capacidad de regla, consulta las descripciones
con las distintas instrucciones de regla en Declaraciones de reglas de AWS WAF (p. 36). También
puede obtener una idea de la capacidad necesaria para los distintos tipos de reglas en la consola de
AWS WAF. Para ello, cree una ACL web o un grupo de reglas y agregue reglas individuales a la misma.
La consola muestra las unidades de capacidad utilizadas al agregar las reglas.
• Capacidad de grupo de reglas: AWS WAF requiere que a cada grupo de reglas se le asigne una
capacidad inmutable en el momento de su creación. Esto se aplica a los grupos de reglas administrados
y los grupos de reglas que cree con AWS WAF. Al modificar un grupo de reglas, los cambios deben
mantener la WCU del grupo de reglas dentro de su cuota máxima. Esto garantiza que las ACL web que
utilizan el grupo de reglas permanezcan dentro de sus cuotas.
• Capacidad de ACL web: la capacidad máxima para una ACL web es 1,500, la cual es suficiente para
la mayoría de los casos de uso. Si necesita más capacidad, póngase en contacto con AWS Support
Center.
Note
En general, AWS facturará menos de 0,25 USD al día por los recursos que cree durante este
tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para
evitar incurrir en gastos innecesarios.
Temas
• Paso 1: Configurar AWS WAF (p. 9)
• Paso 2: Crear una ACL web (p. 9)
• Paso 3: Añadir una regla de coincidencia de cadena (p. 10)
• Paso 4: Añadir un Grupo de reglas de Reglas administradas por AWS (p. 11)
• Paso 5: Finalización de la configuración de ACL web (p. 12)
• Paso 6: Eliminación de recursos (p. 12)
De lo contrario, vaya a Configuración (p. 3) y siga al menos los dos primeros pasos. (Por ahora, puede
omitir la descarga de herramientas, ya que el tema de introducción se centra en cómo usar la consola de
AWS WAF).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si es la primera vez que utiliza AWS WAF, seleccione Go to AWS WAF (Ir a AWS WAF) y, a
continuación, elija Configure web ACL (Configurar ACL web).
Si ya ha utilizado AWS WAF antes, seleccione Web ACLs (ACL web) en el panel de navegación y, a
continuación, elija Create web ACL (Crear ACL web).
3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.
Note
Para obtener más información acerca de las declaraciones de reglas de coincidencia de cadena,
consulte Declaración de regla de coincidencia de cadena (p. 45).
1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir
reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder
(Generador de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).
Note
La consola proporciona Rule visual editor (Editor visual de reglas) y también Rule JSON
editor (Editor JSON de reglas). El editor JSON facilita la copia de configuraciones entre ACL
web y es necesario para conjuntos de reglas más complejos, como los que cuentan con
múltiples niveles de anidamiento.
Este procedimiento utiliza Rule visual editor (Editor visual de reglas).
2. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta regla.
3. En Type (Tipo), elija Regular rule (Regla normal).
Las otras opciones utilizan los tipos de declaraciones lógicas para las reglas, que permiten combinar o
negar los resultados de las declaraciones de reglas.
5. En Statement (Declaración) de Inspect (Inspeccionar), abra el menú desplegable y elija el componente
de solicitud web en el que desea que AWS WAF busque su cadena. En este ejemplo, seleccione
Header.
Al elegir Header (Encabezado), también debe especificar qué encabezado desea que AWS WAF
inspeccione. Introduzca User-Agent (Agente de usuario). Este valor no distingue entre mayúsculas y
minúsculas.
Note
Si decide inspeccionar la solicitud web Body (Cuerpo), AWS WAF solo inspeccionará los
primeros 8192 bytes (8 KB), ya que el servicio host subyacente solo reenvía los primeros
8192 bytes para su inspección. Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. AWS WAF obtiene
la longitud del cuerpo de los encabezados de la solicitud. Para obtener más información,
consulte Declaración de regla de restricción de tamaño (p. 43).
6. En Match type (Tipo de coincidencia), decida si la cadena especificada tiene que aparecer en el
encabezado User-Agent.
En este ejemplo, elija Exactly matches string (Coincide exactamente con la cadena). Esto indica que
AWS WAF inspecciona el encabezado del agente de usuario en cada solicitud web para buscar una
cadena que sea idéntica a la cadena especificada.
7. En String to match (Cadena que debe coincidir), especifique la cadena que quiere que AWS WAF
busque. La longitud máxima de String to match (Cadena que debe coincidir) es de 200 caracteres. Si
desea especificar un valor con codificación base64, puede especificar hasta 200 caracteres antes de
la codificación.
En este ejemplo, escriba BadBot. AWS WAF inspeccionará el encabezado User-Agent en las
solicitudes web para buscar el valor BadBot.
8. Deje el campo Text transformation (Transformación de texto) establecido en None (Ninguna).
En su intento por superar el obstáculo que AWS WAF representa, los atacantes usan un formato que
se sale de lo corriente en sus solicitudes web; por ejemplo, añaden espacios en blanco o codifican con
URL toda la solicitud o parte de ella. Las transformaciones convierten la solicitud web en un formato
más próximo al estándar, ya que eliminan los espacios en blanco, descodifican con URL la solicitud o
realizan otras operaciones que eliminan gran parte del formato fuera de lo corriente que los atacantes
suelen utilizar. Puede especificar varias transformaciones. AWS WAF las procesa todas en orden
antes de inspeccionar el componente de solicitud web.
9. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una
solicitud web. En este ejemplo, seleccione Count (Recuento). Se crean métricas para las solicitudes
web que coincidan con la regla, pero no afecta a si la regla está permitida o bloqueada. Para obtener
más información acerca de sus opciones, consulte Acción de la regla de AWS WAF (p. 35) y Cómo
AWS WAF procesa una ACL web (p. 15).
10. Seleccione Add rule.
reglas, consulte Grupos de reglas (p. 23). Vamos a añadir Grupo de reglas de Reglas administradas por
AWS a esta ACL web.
1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir
reglas) y, a continuación, Add managed rule groups (Añadir grupos de reglas administrados).
2. En la página Add managed rule groups (Añadir grupos de reglas administrados), amplíe la descripción
de AWS managed rule groups (Grupos de reglas administrados de AWS). (También verá las
descripciones ofrecidas a los vendedores de AWS Marketplace. Puede suscribirse a sus ofertas y
luego usarlos de la misma manera que para Grupos de reglas de Reglas administradas por AWS).
3. En el grupo de reglas que desea añadir, active la opción Add to web ACL (Añadir a la ACL web) en
la columna Action (Acción). Active también la opción Set rules action to count (Establecer reglas para
contar). Se establece que la acción de todas las reglas del grupo de reglas es solo contar. Le permite
ver cómo se comporta el grupo de reglas con sus solicitudes web antes de ponerlo en uso.
4. Elija Add rules (Añadir reglas).
5. Seleccione Next (Siguiente).
1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Next (Siguiente).
2. En la página Set rule priority (Establecer prioridad de regla) puede ver el orden de procesamiento de
las reglas y grupos de reglas en la ACL web. AWS WAF los procesa desde arriba. Para cambiar el
orden de procesamiento, muévalos hacia arriba y hacia abajo. Para ello, seleccione un elemento de la
lista y elija Move up (Subir) o Move down (Bajar).
3. Seleccione Next (Siguiente).
4. En la página Configure metrics and tags (Configurar métricas y etiquetas), en Amazon CloudWatch
metrics (Métricas de Amazon CloudWatch), puede ver las métricas planificadas para las reglas y
grupos de reglas. Anule la selección de las métricas que no desee. Según sea necesario, cambie
los nombres para los que quiere obtener las métricas. Para obtener más información acerca de las
métricas de Amazon CloudWatch, consulte Monitorear con Amazon CloudWatch (p. 306).
5. En Tags (Etiquetas), introduzca la clave y el valor opcional para cualquier etiqueta que desee añadir a
esta ACL web. Las etiquetas le ayudan a organizar y administrar sus recursos de AWS. Para obtener
más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.
6. Seleccione Next (Siguiente).
7. En la página Review and create web ACL (Revisar y crear ACL web), revise la configuración y, a
continuación, elija Create web ACL (Crear ACL web).
El asistente le devuelve a la página de Web ACL (ACL web), donde aparece la nueva ACL Web.
Para eliminar los objetos por los que AWS WAF cobra
1. En la página Web ACL (ACL web), seleccione su ACL web de la lista y elija Edit (Editar).
2. En Associated AWS resources - optional (Recursos de AWS asociados: opcional), seleccione todos
los recursos asociados y elija Remove (Eliminar). Con esta acción, se disocia la ACL web de sus
recursos de AWS.
3. En cada una de las pantallas siguientes, elija Next (Siguiente) hasta que vuelva a la página Web ACL
(ACL web).
En la página Web ACL (ACL web), seleccione su ACL web de la lista y elija Delete (Eliminar).
Las reglas y las declaraciones de reglas no existen fuera de las definiciones de ACL web y los grupos de
reglas. Si elimina una ACL web, se eliminarán todas las reglas individuales que haya definido en la ACL
web. Cuando elimina un grupo de reglas de una ACL web, simplemente se elimina la referencia.
En esta sección se proporciona orientación de alto nivel para migrar las reglas y ACL web de AWS WAF
Classic a AWS WAF.
Antes de empezar
Para comprender las opciones y capacidades ampliadas de esta última versión de AWS WAF, lea
la información de esta guía para desarrolladores de AWS WAF. Por ejemplo, las opciones para la
administración de reglas ahora incluyen instrucciones lógicas AND, OR y NOT. Además, puede anidar
reglas. AWS WAF admite la notación CIDR completa en las especificaciones de direcciones IP.
De forma adicional, AWS WAF ahora proporciona un conjunto de grupos de reglas para su uso de
forma gratuita. Es posible que desee usarlos en las nuevas configuraciones de ACL web en lugar
de algunas de las configuraciones anteriores. Para obtener información, consulte Grupos de reglas
administrados (p. 24).
Pasos generales para migrar las ACL web de AWS WAF Classic a AWS WAF
Haga lo siguiente para cada ACL web que utilice en AWS WAF Classic:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
Elija Switch to AWS WAF Classic (Cambiar a AWS WAF Classic) y revise la configuración de la ACL
web. Anote la configuración de la ACL web que desea migrar. Este es un proceso manual.
2. Siga las instrucciones de Creación de una ACL web (p. 17) para crear una ACL web en AWS WAF
que se base en la ACL web de AWS WAF Classic en otra sesión del navegador.
Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes:
También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes
web que no solo cumplan las condiciones especificadas, sino que también superen un número
determinado de solicitudes en un periodo de cinco minutos. Puede combinar condiciones mediante el uso
de operadores lógicos.
Estos criterios se proporcionan teniendo en cuenta las reglas que incluye en la ACL web y los grupos de
reglas que se utilizan en esta. Se especifican en la instrucción de regla. Para obtener una lista completa de
opciones, consulte Declaraciones de reglas de AWS WAF (p. 36).
Para elegir las solicitudes que desea que accedan a su contenido o que desea bloquear, realice las
siguientes tareas:
1. Elija la acción por defecto para permitir o bloquear solicitudes web que no coincidan con ninguna de
las reglas que se han especificado. Para obtener más información, consulte Decisión sobre la acción
predeterminada para una ACL web (p. 15).
2. Agregue los grupos de reglas que desee utilizar en la ACL web. Los grupos de reglas administrados
suelen contener reglas que bloquean las solicitudes web. Para obtener información acerca de los grupos
de reglas, consulte Grupos de reglas (p. 23).
3. Especifique condiciones adicionales para las que desea permitir o bloquear solicitudes en una o varias
reglas. Para agregar más de una, comience con las instrucciones de regla AND u OR y anide las reglas
que desee combinar. Si desea negar una opción de regla, anide la regla en una instrucción NOT.
Opcionalmente, puede utilizar una regla basada en frecuencia en lugar de una regla normal para limitar
el número de solicitudes desde cualquier dirección IP que cumpla las condiciones. Para obtener más
información acerca de las reglas, consulte Reglas de AWS WAF (p. 34).
Si añade más de una regla a una ACL web, AWS WAF evalúe las reglas en el orden en el que se
muestran en la ACL web. Para obtener más información, consulte Cómo AWS WAF procesa una ACL
web (p. 15).
Temas
• Cómo AWS WAF procesa una ACL web (p. 15)
• Uso de ACL web (p. 16)
Si añade más de una regla a una ACL web, AWS WAF evalúa cada solicitud en función de las reglas en
el orden en que las haya enumerado en la ACL web. Si añade más de un grupo de reglas a la ACL web,
AWS WAF procesa los grupos según el orden en que aparecen en la ACL web y procesa las reglas de un
grupo de reglas en el orden en que aparecen dentro de este.
Cómo AWS WAF gestiona las acciones de regla de una ACL web
Para las reglas de una ACL web, puede elegir entre contar, permitir o bloquear solicitudes web
coincidentes:
• Permitir y bloquear son acciones de terminación. Detienen todos los demás procesos de la ACL web
en la solicitud web coincidente. Si incluye una regla en una ACL web que tenga una acción de permitir
o bloquear y la regla encuentra una coincidencia, esa coincidencia determina la disposición final de la
solicitud web para la ACL web. AWS WAF no procesa ninguna otra regla de la ACL web tras la regla
coincidente. Esto se cumple en el caso de las reglas que agrega directamente a la ACL web y las reglas
que se encuentran en un grupo de reglas añadido.
• La acción de recuento no es de terminación. Cuando una regla con una acción de recuento coincide con
una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas
del conjunto de reglas de la ACL web. Si las únicas reglas que coinciden tienen la acción de recuento,
AWS WAF aplica la configuración de acción predeterminada de la ACL web.
Las acciones que AWS WAF aplica a una solicitud web se ven afectadas por la posición relativa de las
reglas en la ACL web. Por ejemplo, si hay una solicitud web que coincide con una regla que permite
solicitudes y otra que cuenta solicitudes; si la regla que permite las solicitudes aparece primero, entonces
AWS WAF no contará la solicitud.
• Permitir: si desea permitir que la mayoría de los usuarios pueda obtener acceso a su sitio web, pero
desea bloquear el acceso a atacantes cuyas solicitudes provienen de direcciones IP específicas o cuyas
solicitudes parecen contener código SQL malicioso o valores específicos, elija Allow (Permitir) como
la acción predeterminada. A continuación, cuando agregue reglas a su ACL web, añada reglas que
identifiquen y bloqueen las solicitudes específicas que desea bloquear.
• Bloquear: si desea evitar que la mayoría de usuarios obtenga acceso a su sitio web, pero desea permitir
el acceso a los usuarios cuyas solicitudes provienen de direcciones IP específicas o cuyas solicitudes
contienen valores específicos, elija Block (Bloquear) como la acción predeterminada. A continuación,
cuando agregue reglas a su ACL web, agregue reglas que identifiquen y permitan las solicitudes
específicas que desea permitir.
La configuración de sus propias reglas y grupos de reglas depende en parte de si desea permitir o
bloquear la mayoría de las solicitudes web. Por ejemplo, si quiere permitir la mayoría de las solicitudes,
tiene que configurar la acción predeterminada de la ACL web para que permita y, a continuación, agregar
reglas que identifiquen las solicitudes web que desea bloquear, como las siguientes:
• Las solicitudes que provengan de direcciones IP que realizan un número excesivo de solicitudes
• Las solicitudes que proceden de países en los que no opera o que con frecuencia son origen de ataques
• Las solicitudes que incluyen valores falsos en el encabezado User-agent
• Las solicitudes que parecen incluir código SQL malicioso
Los grupos de reglas administrados suelen utilizar la acción de bloque. Para obtener información acerca de
los grupos de reglas administrados, consulte Grupos de reglas administrados (p. 24).
Si desea probar una regla antes de empezar a utilizarla para permitir o bloquear solicitudes, puede
configurar AWS WAF para que cuente las solicitudes web que cumplen las condiciones en la regla. Si tiene
las métricas habilitadas, recibirá métricas de COUNT para todas las reglas del grupo. Para obtener más
información, consulte Prueba de ACL web (p. 20).
Excluir una sola regla puede ayudarle a resolver errores falsos positivos, que es cuando un grupo de
reglas bloquea el tráfico que no espera que bloquee. Puede identificar la regla del grupo de reglas que está
realizando el bloqueo inesperado y, a continuación, excluirla para deshabilitarla. Excluir una regla anula la
acción de recuento de esta. Si tiene las métricas habilitadas, recibirá métricas de COUNT para cada regla
excluida.
Temas
• Creación de una ACL web (p. 17)
• Asociación o desasociación de una ACL web con un recurso de AWS (p. 19)
• Edición de una ACL web (p. 20)
• Eliminación de una ACL web (p. 20)
• Prueba de ACL web (p. 20)
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si es la primera vez que utiliza AWS WAF, elija Go to AWS WAF (Ir a WAF) y, a continuación,
Configure Web ACL (Configurar ACL web).
Si ya ha utilizado AWS WAF antes, seleccione Web ACLs (ACL web) en el panel de navegación y, a
continuación, elija Create web ACL (Crear ACL web).
3. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta ACL web.
Note
a. En la página Add managed rule groups (Añadir grupos de reglas administrados), amplíe la
descripción de los grupos de reglas administrados por AWS o del vendedor de AWS Marketplace
que elija.
b. En el grupo de reglas que desea agregar, active la opción Add to web ACL (Añadir a la ACL web)
en la columna Action (Acción).
Versión de API 2019-07-29
17
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Uso de ACL web
Si desea configurar la acción de todas las reglas del grupo de reglas para que solo cuenten,
active la acción Set rules action to count (Establecer reglas para recuento). Para obtener más
información acerca de esta opción, consulte Anulación de las acciones de todo un grupo de
reglas (p. 16).
Seleccione Add rules (Añadir reglas) para terminar de agregar reglas administradas y volver a la
página Add rules and rule groups (Añadir reglas y grupos de reglas).
11. (Opcional) Si desea agregar su propio grupo de reglas, en la página Add rules and rule groups (Añadir
reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, seleccione Add my own
rules and rule groups (Añadir mis propias reglas y grupos de reglas). Realice lo siguiente para cada
grupo de reglas que desee agregar:
a. En la página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas),
elija Rule group (Grupo de reglas).
b. Seleccione el grupo de reglas de la lista. Si desea anular las acciones de reglas del grupo,
active la acción Set rules action to count (Establecer reglas para recuento). Para obtener más
información acerca de esta opción, consulte Anulación de las acciones de todo un grupo de
reglas (p. 16).
12. (Opcional) Si desea agregar su propia regla, en la página Add rules and rule groups (Añadir reglas
y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis
propias reglas y grupos de reglas), Rule builder (Generador, de reglas) y, a continuación, Rule visual
editor (Editor visual de reglas).
Note
El Rule visual editor (Editor visual de reglas) de la consola admite un nivel de anidamiento.
Por ejemplo, puede utilizar una sola instrucción lógica AND u OR y anidar otro nivel de
instrucciones en ella, pero no puede anidar declaraciones lógicas dentro de instrucciones
lógicas. Para administrar instrucciones de regla más complejas, utilice el Rule JSON editor
(Editor de JSON de reglas). Para obtener información sobre todas las opciones de reglas,
consulte Reglas de AWS WAF (p. 34).
Este procedimiento abarca el Rule visual editor (Editor visual de reglas).
a. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla.
b. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en
instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada
regla según el contexto. Para obtener información sobre las opciones de reglas, consulte Reglas
de AWS WAF (p. 34).
c. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una
solicitud web. Para obtener más información acerca de sus opciones, consulte Acción de la regla
de AWS WAF (p. 35) y Cómo AWS WAF procesa una ACL web (p. 15).
d. Seleccione Add rule.
13. Elija la acción predeterminada para ACL web. Esta será la acción que AWS WAF ejecutará cuando
una solicitud web no coincida con alguna de las reglas de la ACL web. Para obtener más información,
consulte Decisión sobre la acción predeterminada para una ACL web (p. 15).
14. Elija Next (Siguiente).
15. En la página Set rule priority (Establecer prioridad de regla), seleccione y coloque las reglas y los
grupos de reglas según el orden que quiere que AWS WAF siga para procesarlos. Para obtener más
información, consulte Cómo AWS WAF procesa una ACL web (p. 15).
16. Seleccione Next (Siguiente).
17. En la página Configure metrics (Configurar métricas), anule la selección de cualquier elemento del que
no desee métricas y actualice los nombres según sea necesario. Puede combinar métricas de varios
orígenes proporcionando el mismo CloudWatch metric name (nombre de métrica de CloudWatch).
Puede asociar una ACL web a una distribución de CloudFront al crear o actualizar la distribución. Para
obtener información, consulte Uso de AWS WAF para controlar el acceso a su contenido en la Guía para
desarrolladores de Amazon CloudFront.
Solo puede asociar una ACL web a instancias de Balanceador de carga de aplicaciones que existan
en las regiones de AWS. Por ejemplo, no puede asociar una ACL web a una Balanceador de carga de
aplicaciones que esté en AWS Outposts.
Puede asociar una única ACL web a uno o más recursos de AWS según las siguientes restricciones:
• Puede asociar cada recurso de AWS a una sola ACL web. La relación entre la ACL web y los recursos
de AWS es de uno a varios.
• No puede mezclar asociaciones de tipos de recursos para una sola región ni para su uso con
distribuciones de CloudFront:
• Puede asociar una ACL web a una o más distribuciones de CloudFront. No puede asociar una ACL
web que ya haya asociado a una distribución de CloudFront a ningún otro tipo de recurso de AWS.
• Puede asociar, de forma exclusiva, una ACL web a recursos de Balanceador de carga de aplicaciones
o a recursos de una API de API Gateway en una sola región. No se pueden mezclar las dos
asociaciones de tipos de recursos en una región.
Para asociar una ACL web a una API de API Gateway, distribución de CloudFront o a un
Balanceador de carga de aplicaciones
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs (ACL web).
3. Elija la ACL web que desee asociar a un recurso.
4. En la pestaña Associated AWS resources (Recursos de AWS asociados), seleccione Add AWS
resources (Añadir recursos de AWS).
5. Cuando se le solicite, elija el recurso al que desea asociar esta ACL web. Si elige una API de
Balanceador de carga de aplicaciones o API Gateway, especifique una región.
6. Elija Add.
Para desasociar una ACL web de una API de API Gateway, una distribución de CloudFront o de
un Balanceador de carga de aplicaciones
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs (ACL web).
3. Elija la ACL web que desee desasociar del recurso.
4. En la pestaña Associated AWS resources (Recursos de AWS asociados), anule la selección de los
recursos que quiere desasociar de esta ACL web.
5. Seleccione Save.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Elija la ACL web que desee editar y, a continuación, seleccione Edit (Editar).
4. Desplácese por las páginas de las definiciones de la ACL web y realice los cambios que necesite. Es
el mismo procedimiento que se utiliza para crear la ACL web en Creación de una ACL web (p. 17),
pero con algunos campos que no se pueden modificar. Por ejemplo, no puede cambiar el nombre de
una ACL web.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Seleccione la ACL web que desee eliminar y, a continuación, elija Edit (Editar).
4. Desasocie la ACL web de todos los recursos de AWS. En la pestaña Associated AWS resources
(Recursos asociados de AWS), seleccione todos los recursos y, a continuación, elija Remove
(Eliminar).
5. En la página Web ACLs, seleccione la ACL Web que desea eliminar y, a continuación, elija Delete
(Eliminar).
Temas
• Recuento de las solicitudes web que coinciden con las reglas en una ACL web (p. 21)
Recuento de las solicitudes web que coinciden con las reglas en una ACL web
Al agregar reglas a una ACL web, está especificando si desea que AWS WAF permita, bloquee o cuente
las solicitudes web que coinciden con todas las condiciones de esa regla. Recomendamos que empiece
con la siguiente configuración:
• Configurar todas las reglas de una ACL web para contar solicitudes web
• Establecer la acción predeterminada para que la ACL web permita las solicitudes
En esta configuración, AWS WAF inspecciona cada solicitud web en función de las condiciones de la
primera regla. Si la solicitud web coincide con todas las condiciones de la regla, AWS WAF incrementa
un contador para esa regla. A continuación, AWS WAF inspecciona la solicitud web en función de las
condiciones de la siguiente regla. Si la solicitud web coincide con todas las condiciones de la regla, AWS
WAF incrementa un contador para la regla. Esto continuará hasta que AWS WAF haya inspeccionado la
solicitud en función de las condiciones de todas sus reglas.
Una vez que haya configurado todas las reglas de una ACL web para contar solicitudes y haya asociado
la ACL web a uno o más recursos de AWS (API de Amazon API Gateway, distribución de CloudFront o
Balanceador de carga de aplicaciones), podrá ver los recuentos resultantes en un gráfico de Amazon
CloudWatch. En el caso de cada una de las reglas de una ACL web y de todas las solicitudes que un
recurso asociado reenvíe a AWS WAF para una ACL web, CloudWatch le permite hacer lo siguiente:
• Ver los datos correspondientes a la hora anterior o a las tres horas anteriores
• Cambiar el intervalo entre puntos de datos
• Cambiar el cálculo que realiza CloudWatch sobre los datos, como máximo, mínimo, media o suma
Note
AWS WAF con CloudFront es un servicio global y las métricas están disponibles solo cuando elige
la región EE.UU. Este (Norte de Virginia) en la consola de AWS. Si elige otra región, no aparecerá
ninguna métrica de AWS WAF en la consola de CloudWatch.
Estadística
Elija si desea ver los datos correspondientes a la hora anterior o a las tres horas anteriores.
Período
• Si acaba de asociar una ACL web a un recurso de AWS, es posible que tenga que esperar unos
minutos para que aparezcan los datos en el gráfico y para que aparezca la métrica de la ACL web
en la lista de métricas disponibles.
• Si asocia más de un recurso a una ACL web, los datos de CloudWatch incluirán solicitudes de todos
ellos.
• Puede colocar el cursor del ratón sobre un punto de datos para obtener más información.
• El gráfico no se actualiza por su cuenta de forma automática. Para actualizar la pantalla, elija el
icono de actualización ( ).
5. (Opcional) Vea información detallada acerca de las solicitudes individuales que un recurso de AWS
ha reenviado a AWS WAF. Para obtener más información, consulte Visualización de una muestra de
solicitudes web (p. 22).
6. Si determina que una regla está interceptando solicitudes que no desea interceptar, cambie la
configuración aplicable. Para obtener más información, consulte Administración y uso de una lista de
control de acceso web (ACL web) (p. 14).
Cuando crea que todas sus reglas interceptan solo las solicitudes correctas, cambie la acción de
cada una de sus reglas a Allow o Block. Para obtener más información, consulte Edición de una ACL
web (p. 20).
La muestra de solicitudes contiene hasta 100 solicitudes que coincidieron con todas las condiciones de
cada regla y otras 100 solicitudes para la acción predeterminada, que se aplica a las solicitudes que no
coincidieron con todas las condiciones de cada regla. Las solicitudes del ejemplo vienen de todas las
API de API Gateway, ubicaciones de borde de CloudFront o instancias de balanceadores de carga de
aplicaciones que han recibido solicitudes de su contenido en los 15 minutos anteriores.
Para ver un ejemplo de las solicitudes web que un recurso asociado ha reenviado a AWS WAF
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija la ACL web cuyas solicitudes quiera ver.
3. En el panel de la derecha, elija la pestaña Requests.
En la tabla Sampled requests se muestran los siguientes valores para cada solicitud:
IP de origen
Regla de coincidencias
Identifica la primera regla de la ACL web para la que la solicitud web coincidió con todas las
condiciones. Si una solicitud web no coincide con todas las condiciones de cada regla de la ACL
web, el valor de Matches rule es Default.
Tenga en cuenta que si una solicitud web coincide con todas las condiciones de una regla y la
acción de esa regla es Count, AWS WAF continúa inspeccionando la solicitud web en función de
las reglas posteriores de la ACL web. En este caso, una solicitud web podría aparecer dos veces
en la lista de solicitudes muestreadas: una para la regla que tiene una acción de Count y otra vez
para una regla posterior o para la acción predeterminada.
Acción
La hora a la que AWS WAF ha recibido la solicitud de API Gateway, CloudFront o su Balanceador
de carga de aplicaciones.
4. Para mostrar información adicional acerca de la solicitud, elija la flecha del lado izquierdo de la
dirección IP de esa solicitud. AWS WAF muestra la siguiente información:
IP de origen
El código de país de dos letras del país desde el que se originó la solicitud. Si el espectador ha
usado un proxy HTTP o un Balanceador de carga de aplicaciones para enviar la solicitud, este es
el código de país de dos letras del país en el que se encuentra el proxy HTTP o un Balanceador
de carga de aplicaciones.
Para obtener una lista de códigos de país de dos letras y los nombres de los países
correspondientes, consulte la entrada de Wikipedia ISO 3166-1 alpha-2.
Método
El método de solicitud HTTP para la solicitud: GET, HEAD, OPTIONS, PUT, POST, PATCH, o bien
DELETE.
URI
Grupos de reglas
Un grupo de reglas es un conjunto de reglas reutilizable que puede agregar a una ACL web. Para obtener
más información acerca de las ACL web, consulte Administración y uso de una lista de control de acceso
web (ACL web) (p. 14).
• Grupos de reglas administrados que los vendedores de Reglas administradas por AWS y AWS
Marketplace crean y mantienen para usted
Los grupos de reglas y las ACL web contienen reglas. Estas se definen de la misma manera en ambos
lugares. Se diferencian por lo siguiente:
• Puede reutilizar un solo grupo de reglas en varias ACL web. Para ello, agregue una instrucción de
referencia de grupo de reglas a cada ACL web. No puede reutilizar una ACL web.
• Los grupos de reglas no tienen acciones predeterminadas. En una ACL web, se establece una acción
predeterminada para cada regla o grupo de reglas que se incluya. Cada regla individual dentro de un
grupo de reglas o ACL web tiene una acción definida.
• No se asocia directamente un grupo de reglas a un recurso de AWS. Para proteger recursos mediante
un grupo de reglas, utilice el grupo de reglas en una ACL web.
• Las ACL web tienen una capacidad máxima definida por el sistema de 1,500 unidades de capacidad de
ACL web (WCU). Cada grupo de reglas tiene una configuración de WCU que debe establecerse en la
creación. Puede utilizar esta configuración para calcular los requisitos de capacidad adicionales que el
uso de un grupo de reglas agregaría a la ACL web.
Para obtener información acerca de los tipos de reglas que puede utilizar en un grupo de reglas o ACL
web, consulte Reglas de AWS WAF (p. 34).
En esta sección se describen los tipos de grupos de reglas administrados que están disponibles y se
proporciona orientación para crear y administrar sus propios grupos de reglas, si así lo decide.
Temas
• Grupos de reglas administrados (p. 24)
• Administración de sus propios grupos de reglas (p. 32)
• Administrar el comportamiento del grupo de reglas en una ACL Web (p. 33)
• Grupos de reglas de Reglas administradas por AWS están disponibles de forma gratuita para los clientes
de AWS WAF.
• Los grupos de regla administrados por AWS Marketplace están disponibles mediante suscripción a
través de AWS Marketplace.
Algunos grupos de reglas administrados están diseñados para ayudar a proteger determinados tipos
de aplicaciones web, como WordPress, Joomla o PHP. Otros ofrecen una amplia protección frente a
amenazas conocidas o vulnerabilidades de aplicaciones web comunes, como las que se enumeran en
OWASP Top 10. Si está sujeto a la conformidad normativa de PCI o HIPAA, podría utilizar grupos de
reglas administrados para cumplir los requisitos de firewall de las aplicaciones web.
Actualizaciones automáticas
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso.
Los grupos de reglas administrados pueden ahorrarle tiempo al implementar y usar AWS WAF. Los
vendedores de AWS y AWS Marketplace actualizan automáticamente los grupos de reglas administrados
cuando surgen nuevas vulnerabilidades y amenazas.
Los vendedores de AWS, así como muchos vendedores de AWS Marketplace, reciben notificaciones
cuando surgen nuevas vulnerabilidades antes de que se divulguen públicamente. AWS WAF puede
actualizar sus grupos de reglas e implementarlos incluso antes de que una nueva amenaza sea de dominio
público. Muchos de ellos también disponen de equipos de investigación de amenazas que estudian y
analizan las últimas amenazas para crear las reglas más pertinentes.
Cada grupo de reglas de AWS Marketplace ofrece una descripción completa de los tipos de ataques y
vulnerabilidades para los que se ha diseñado. Para proteger la propiedad intelectual de los proveedores
de grupos de reglas, no puede ver las reglas individuales que hay dentro de un grupo de reglas. Esta
restricción también ayuda a impedir que usuarios malintencionados diseñen amenazas que eludan
específicamente las reglas publicadas.
No puede ver reglas individuales de un grupo de reglas administrado ni puede editarlas. Sin embargo,
puede excluir reglas específicas de un grupo de reglas al agregarlo a la ACL web. También puede
reemplazar todas las acciones de reglas del grupo por COUNT. Para obtener más información, consulte la
siguiente sección y también los pasos para agregar un grupo de reglas administrado en el procedimiento
Creación de una ACL web (p. 17).
Temas
• Uso de grupos de reglas administrados (p. 25)
• Reglas administradas por AWS para AWS WAF (p. 27)
• Grupos de reglas administrados por AWS Marketplace (p. 30)
• Consola: durante el proceso de creación de una ACL web, en la página Add rules and rule groups
(Añadir reglas y grupos de reglas), elija Add managed rule groups (Añadir grupos de reglas
administrados). En el nivel superior, se enumeran los nombres de los proveedores. Expanda cada
descripción de proveedores para ver la lista de grupos de reglas administrados. Cuando agrega un
grupo de reglas administrado a la ACL web, la consola lo añade a una lista según el esquema de
nomenclatura <Vendor Name>-<Managed Rule Group Name>.
• API: ListAvailableManagedRuleGroups
• CLI: aws wafv2 list-available-managed-rule-groups
Las llamadas de API y CLI devuelven una lista de todas las reglas administradas a las que puede hacer
referencia en el modelo JSON o a través de AWS CloudFormation.
• Consola
1. Agregue el grupo de reglas administrado a su ACL web y termine de crearla. Para obtener
instrucciones, consulte the section called “Creación de una ACL web” (p. 17).
2. En la página Web ACLs, seleccione la ACL web que acaba de crear. Esto le lleva a la página web de
edición de ACL web.
3. Elija Rules (Reglas).
4. Seleccione el grupo de reglas cuya lista de reglas quiera ver y, a continuación, elija Edit (Editar). AWS
WAF muestra la lista de reglas del grupo de reglas.
En esta página, puede establecer reglas individuales en modo de recuento si lo desea. Para ello,
seleccione Override rules action (Acción de anulación de reglas).
• API: DescribeManagedRuleGroup
• CLI: aws wafv2 describe-managed-rule-group --scope=REGIONAL --vendor-
name=<vendor> --name=<managedrule_name>
Las llamadas de API y CLI devuelven una lista de todas las reglas del grupo de reglas administrado a las
que puede hacer referencia en el modelo JSON o a través de AWS CloudFormation.
Puede hacer referencia a grupos de reglas administrados y modificarlos en una instrucción de regla
mediante JSON. La siguiente descripción muestra el Grupo de reglas de Reglas administradas por AWS,
AWSManagedRulesCommonRuleSet, en formato JSON. La especificación ExcludedRules enumera las
reglas cuyas acciones se modifican para que solo cuenten.
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"ExcludedRules": [
{
"Name": "NoUserAgent_HEADER"
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
Puede hacer referencia a grupos de reglas administrados y modificarlos en una instrucción de regla
mediante la plantilla de AWS CloudFormation. La siguiente descripción muestra el Grupo de reglas
de Reglas administradas por AWS, AWSManagedRulesCommonRuleSet, en la plantilla de AWS
CloudFormation. La especificación ExcludedRules enumera las reglas cuyas acciones se modifican para
que solo cuenten.
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: MetricForWebACLWithAMR
Tags:
- Key: sampleapple
Value: sampleorange
Rules:
- Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: MetricForAMRCRS
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
ExcludedRules:
- Name: NoUserAgent_HEADER
Como práctica recomendada, pruebe un grupo de reglas en un entorno que no sea de producción antes
de usarlo en producción, con la anulación de acciones establecida para contar. Evalúe el grupo de reglas
mediante las métricas de Amazon CloudWatch combinadas con solicitudes muestreadas de AWS WAF o
registros de AWS WAF. Cuando el grupo de reglas funcione como quería, retire la anulación del grupo.
Si encuentra escenarios falsos positivos con Grupos de reglas de Reglas administradas por AWS, lleve a
cabo los siguientes pasos:
1. En la configuración de ACL web, anule las acciones de las reglas de los grupos de reglas. Para ello,
tiene que establecerlas en modo de recuento (alerta). Esto les impide bloquear el tráfico legítimo.
2. Utilice solicitudes muestreadas de AWS WAF o registros de AWS WAF para identificar qué Grupo de
reglas de Reglas administradas por AWS está desencadenando el falso positivo. Puede identificar el
Grupo de reglas de Reglas administradas por AWS si consulta el campo ruleGroupId en el registro o
la regla RuleWithinRuleGroup en la solicitud muestreada. El nombre de la regla sigue este patrón:
AWS#<AMR RuleGroup Name>#<AMR Rule Name>.
3. En la consola de AWS WAF, edite la ACL web, encuentre el Grupo de reglas de Reglas administradas
por AWS que ha identificado y deshabilite la regla que está causando el falso positivo.
Para obtener más información acerca de una regla en un Grupo de reglas de Reglas administradas por
AWS, póngase en contacto con AWS Support Center.
Puede recuperar esta lista junto con los grupos de reglas administrados por AWS Marketplace a los que
está suscrito a través de la API con una llamada a ListAvailableManagedRuleGroups.
Temas
• Grupos de reglas de base de referencia (p. 28)
• Grupos de reglas específicos de casos de uso (p. 28)
• Grupos de reglas de reputación de IP (p. 29)
Este grupo contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda
protección contra la explotación de una amplia gama de vulnerabilidades, como las descritas en las
publicaciones de OWASP y muchas vulnerabilidades y exposiciones comunes (CVE). Considere usar este
grupo de reglas para cualquier caso de uso de AWS WAF.
Protección de administración
Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas
expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un
actor malintencionado obtenga acceso administrativo a la aplicación.
Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que
están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el
riesgo de que un actor malintencionado descubra una aplicación vulnerable.
Este grupo contiene reglas para bloquear los patrones de solicitud asociados a la explotación de bases de
datos SQL, como los ataques de inyección de código SQL. Este puede ayudar a evitar la inyección remota
de consultas no autorizadas. Valore el uso de este grupo de reglas si la aplicación interactúa con una base
de datos SQL.
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de
vulnerabilidades específicas de Linux, como los ataques de inclusión de archivos locales (LFI) específicos
de Linux. Este puede ayudar a evitar ataques que expongan el contenido de un archivos o ejecuten código
que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas
si alguna parte de su aplicación se ejecuta en Linux. Tiene que utilizar este grupo de reglas junto con el
grupo de reglas del sistema operativo POSIX.
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de
vulnerabilidades específicas de POSIX y de sistemas operativos similares a este, como los ataques de
inclusión de archivos locales (LFI). Este puede ayudar a evitar ataques que expongan el contenido de un
archivos o ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que
valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en un sistema operativo POSIX
o similar a POSIX, entre los que se incluyen Linux, AIX, HP-UX, macOS, Solaris, FreeBSD, OpenBSD y
muchos otros.
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de
vulnerabilidades específicas de Windows, como la ejecución remota de comandos de PowerShell. Este
puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar comandos no
autorizados o ejecutar código malintencionado. Valore este grupo de reglas si alguna parte de la aplicación
se ejecuta en un sistema operativo Windows.
Aplicaciones PHP
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de
vulnerabilidades específicas para el uso del lenguaje de programación PHP, como la inyección de
funciones PHP poco seguras. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a
un atacante ejecutar de forma remota código o comandos sin autorización. Evalúe este grupo de reglas si
PHP está instalado en cualquier servidor con el que interactúe su aplicación.
Aplicaciones de WordPress
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de
vulnerabilidades específicas de los sitios de WordPress. Tiene que valorar este grupo de reglas si está
ejecutando WordPress. Este grupo de reglas tiene que usarse junto con los grupos de reglas de bases de
datos SQL y aplicaciones PHP.
Reputación de IP de Amazon
Este grupo contiene reglas basadas en la inteligencia de amenazas interna de Amazon. Es útil si quiere
bloquear direcciones IP normalmente asociadas a bots u otras amenazas. El bloqueo de estas direcciones
IP puede ayudar a mitigar los bots y a reducir el riesgo de que un actor malintencionado descubra una
aplicación vulnerable.
agregan otra capa de seguridad para sus aplicaciones. Sin embargo, las Grupos de reglas de Reglas
administradas por AWS no están destinadas a reemplazar sus responsabilidades de seguridad, que están
determinadas por los recursos de AWS que seleccione. Consulte el Modelo de responsabilidad compartida
para asegurarse de que los recursos de AWS estén protegidos correctamente.
Para utilizar un grupo de reglas de AWS Marketplace en una política de AWS Firewall Manager,
cada cuenta de la organización tiene que suscribirse primero a ese grupo de reglas. Una vez
suscritas todas las cuentas, puede agregar el grupo de reglas a una política.
Los grupos de reglas de AWS Marketplace están disponibles sin contratos a largo plazo ni compromisos
mínimos. Si se suscribe a un grupo de reglas, se le cobrará una cuota mensual (prorrateada por hora) y
cuotas continuas de solicitudes en función del volumen. Para obtener más información, consulte Precios de
AWS WAF y la descripción de cada grupo de reglas de AWS Marketplace en AWS Marketplace.
Para utilizar un grupo de reglas de AWS Marketplace en una política de AWS Firewall Manager,
cada cuenta de la organización tiene que suscribirse primero a ese grupo de reglas. Una vez
suscritas todas las cuentas, puede agregar el grupo de reglas a una política.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione AWS Marketplace.
3. En la sección Available marketplace products, elija el nombre de un grupo de reglas para ver los
detalles y la información sobre precios.
4. Si desea suscribirse al grupo de reglas, elija Continue.
Note
Si no desea suscribirse a este grupo de reglas, solo tiene que cerrar esta página en su
navegador.
5. Elija Set up your account.
6. Agregue el grupo de reglas a una ACL web, de forma similar a la forma en que agrega una regla
individual. Para obtener más información, consulte Creación de una ACL web (p. 17) o Edición de
una ACL web (p. 20).
Note
Al agregar un grupo de reglas a una ACL web, puede anular las acciones de todas las reglas
del grupo solo para COUNT. Para obtener más información, consulte Anulación de acciones
de reglas de un grupo de reglas (p. 33).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Quite el grupo de reglas de todas las ACL web. Para obtener más información, consulte Edición de
una ACL web (p. 20).
3. En el panel de navegación, seleccione AWS Marketplace.
4. Elija Manage your subscriptions.
5. Elija Cancel subscription situada junto al nombre del grupo de reglas cuya suscripción desea cancelar.
6. Elija Yes, cancel subscription.
Una vez realizada la suscripción a un grupo de reglas de AWS Marketplace, utilícelo en las ACL web tal y
como haría con otros grupos de reglas administrados. Para obtener información, consulte Creación de una
ACL web (p. 17).
1. Excluya las reglas específicas que están bloqueando el tráfico legítimo. Puede identificar qué reglas
están bloqueando las solicitudes mediante las solicitudes de AWS WAF muestreadas o los registros
de AWS WAF. Puede identificar las reglas si consulta el campo ruleGroupId en el registro o la regla
RuleWithinRuleGroup en la solicitud muestreada. Puede identificar la regla en el patrón <Seller
Name>#<RuleGroup Name>#<Rule Name>.
2. Si la exclusión de reglas específicas no soluciona el problema, puede cambiar la acción del
grupo de reglas de AWS Marketplace de No override (No anular) a Override to count (Anular para
recuento). Esto permite el paso de la solicitud web, independientemente de las acciones de las reglas
individuales incluidas en el grupo de reglas. Además, le proporciona métricas de Amazon CloudWatch
para el grupo de reglas.
3. Después de establecer la acción del grupo de reglas de AWS Marketplace en Override to count
(Anular para recuento), póngase en contacto con el equipo de servicio de atención al cliente del
proveedor del grupo de reglas para solucionar el problema. Para obtener información de contacto,
consulte la lista de grupos de reglas en las páginas de listas de productos en AWS Marketplace.
Si tiene problemas con AWS WAF o un grupo de reglas administrado por AWS, póngase en contacto
con AWS Support. Si tiene problemas con un grupo de reglas administrado por un socio de AWS AWS
Marketplace, póngase en contacto con el equipo de servicio de atención al cliente de dicho proveedor.
Para encontrar la información de contacto del proveedor, consulte la descripción de proveedores en AWS
Marketplace.
Los grupos de reglas que cree tienen reglas, al igual que una ACL web, y estas se agregan como si se
tratase de una ACL web.
Temas
• Creación de un grupo de reglas (p. 32)
• Uso del grupo de reglas en una ACL Web (p. 33)
• Eliminación de un grupo de reglas (p. 33)
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Rule Groups (Grupos de reglas) y, a continuación, Create rule group
(Crear grupo de reglas).
3. Introduzca un nombre y una descripción del grupo. Los usará para identificar el conjunto y así
administrarlo y usarlo.
Note
A medida que agrega reglas al grupo, el panel Add rules and set capacity (Añadir reglas y establecer
capacidad) muestra la capacidad mínima requerida, que se basa en las reglas que ya ha agregado.
Puede utilizar este y sus planes futuros para el grupo de reglas para hacer una estimación de la
capacidad que necesitará el grupo de reglas.
8. Revise la configuración del grupo de reglas y seleccione Create (Crear).
Consistencia final
Si realiza cambios en una ACL web o en un componente de ACL web (como reglas y grupos de reglas),
AWS WAF propaga los cambios a toda la ACL web y sus componentes se almacenan y se utilizan. Los
cambios se aplican en segundos, pero podría haber un breve período de inestabilidad en el que los
cambios podrían llegar a algunos sitios y a otros no. Por tanto, si, por ejemplo, añade una dirección IP a un
conjunto de direcciones IP al que se hace referencia en una regla de bloqueo de una ACL web, la nueva
dirección podría bloquearse brevemente en una zona y permitirse en otra. Esta inestabilidad temporal
podría producirse la primera vez que asocia una ACL web con un recurso de AWS y cuando cambia una
ACL web que ya está asociada con un recurso. Normalmente, las inconsistencias de este tipo solamente
suelen durar unos segundos.
Si se elimina una entidad que se puede utilizar en una ACL web (como un conjunto de IP, un conjunto de
patrones regex o un conjunto de reglas), AWS WAF comprueba si la entidad se está utilizando actualmente
en alguna ACL web. Si descubre que se está utilizando, AWS WAF le avisará. AWS WAF casi siempre es
capaz de determinar si alguna ACL web está haciendo referencia a una entidad. Sin embargo, es posible
que en algunas ocasiones no consiga hacerlo. Si necesita asegurarse de que está entidad no se está
utilizando en ningún sitio, compruebe las ACL web antes de eliminarla. Si la entidad es un conjunto al que
se hace referencia, compruebe también que no hay ningún grupo de reglas que la esté utilizando.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Rule groups (Grupos de reglas).
3. Seleccione el grupo de reglas que desea eliminar y, a continuación, haga clic en Delete (Eliminar).
Para anular las acciones de reglas de un grupo de reglas, al agregar el grupo a la ACL web, active la
opción Set rules action to count (Establecer reglas para recuento). Para obtener más información sobre la
administración de una ACL web, consulte Administración y uso de una lista de control de acceso web (ACL
web) (p. 14).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si aún no está habilitado, debe habilitar el registro de AWS WAF. Para obtener más información,
consulte Registro de información del tráfico de la ACL web (p. 55). Utilice los registros de AWS
WAF para identificar los ID de las reglas que desea excluir. Suelen ser reglas que bloquean solicitudes
legítimas.
3. En el panel de navegación, seleccione Web ACLs.
4. Elija la ACL web que desea editar. Esto le lleva a una página que muestra la información general de la
ACL web, además de otras pestañas disponibles.
Note
El grupo de reglas que quiere editar tiene que estar asociado a una ACL web guardada antes
de poder excluir una regla de ese grupo de reglas.
5. Elija la pestaña Rules.
6. Seleccione el grupo de reglas cuya lista de reglas quiera ver y, a continuación, elija Edit (Editar). AWS
WAF muestra la lista de reglas del grupo de reglas.
7. Seleccione Override rules action (Acción de anulación de reglas) para las reglas que quiera excluir del
grupo de reglas. AWS WAF contará las solicitudes web coincidentes para la regla, pero no realizará
ninguna otra acción. Recibirá métricas de recuento de cada regla en este estado si las métricas del
grupo de reglas están habilitadas.
Las declaraciones de inspección se incluyen en el formato JSON como declaraciones de reglas y la acción
en acciones de reglas.
Las reglas de una ACL web se utilizan para bloquear o permitir solicitudes web basadas en criterios como
los siguientes:
• Scripts que probablemente sean maliciosos. Los atacantes incrustan scripts que pueden aprovechar
vulnerabilidades en aplicaciones web. Esto es lo que se conoce como scripting entre sitios (XSS).
• Direcciones IP o rangos de direcciones de las que procedan las solicitudes.
• País o ubicación geográfica de donde provienen las solicitudes.
Algunos tipos de reglas adoptan varios valores. Por ejemplo, puede especificar hasta 10 000 direcciones IP
o rangos de direcciones de IP en una regla de direcciones IP.
Además de declaraciones como las de la lista anterior, que proporcionan criterios de inspección de
solicitudes web, AWS WAF admite declaraciones lógicas para AND, OR y NOT que se utilizan para
combinar declaraciones en una regla.
Por ejemplo, en función de las últimas solicitudes que haya visto de un atacante, puede crear una regla
con una declaración AND lógica que incluya las siguientes declaraciones anidadas:
En este caso, todas las declaraciones tienen que dar como resultado una coincidencia para que la
declaración AND de nivel superior coincida.
Las reglas no existen en AWS WAF de forma independiente. No son recursos de AWS y no tienen
nombres de recursos de Amazon (ARN). Puede acceder a una regla por su nombre en el grupo de reglas
o en la ACL web donde está definida. Para administrar reglas y copiarlas en otras ACL web, use el formato
JSON del grupo de reglas o ACL web que contiene la regla. También puede administrarlas a través del
Rule builder (Generador de reglas) de la consola de AWS WAF, que está disponible para las ACL web y
los grupos de reglas.
Temas
• Nombre de la regla de AWS WAF (p. 35)
• Acción de la regla de AWS WAF (p. 35)
• Declaraciones de reglas de AWS WAF (p. 36)
El nombre solo puede contener los caracteres A-Z, a-z, 0-9 y los siguientes caracteres especiales:
_-!"#`+*},./. No puede cambiar el nombre de una regla después de crearla en el grupo de reglas o en
la ACL web.
• Count (Recuento): – AWS WAF cuenta la solicitud, pero no determina si se va a permitir o bloquear. Con
esta acción, AWS WAF continúa procesando las reglas restantes en la ACL web.
• Permitir: – AWS WAF permite que la solicitud se reenvíe al recurso de AWS para su procesamiento y
respuesta.
• Block (Bloquear): – AWS WAF bloquea la solicitud y el recurso de AWS responde con un código de
estado HTTP 403 (Prohibido).
Puede anular las acciones de regla cuando las añade a una ACL web. Al hacerlo, la regla se ejecuta con la
acción establecida para contar. Para obtener más información acerca de cómo interactúan la ACL web y la
configuración de reglas, consulte Cómo AWS WAF procesa una ACL web (p. 15).
Cada regla de AWS WAF tiene una sola declaración de regla de nivel superior, que puede contener
otras declaraciones. Las declaraciones de reglas pueden ser muy sencillas. Por ejemplo, puede tener
una declaración que proporcione solo un conjunto de países de origen para comprobar sus solicitudes
web. Las declaraciones de reglas también pueden ser muy complejas. Por ejemplo, podría tener una
declaración que combine muchas otras declaraciones con declaraciones lógicas AND, OR y NOT.
Las ACL web también pueden incluir declaraciones de reglas que solo hacen referencia a grupos de
reglas. En la consola, no se ven representados como declaraciones de regla, pero cada ACL web tiene
una representación en formato JSON. Allí, verá estos tipos especiales de declaraciones de reglas. Para
reglas de cualquier complejidad, administrar su ACL web con el editor JSON es la forma más fácil de
seguir. Puede recuperar la configuración completa de una ACL web en formato JSON, modificarla según
sea necesario y, a continuación, proporcionarla a través de la consola, API o CLI. Lo mismo se aplica a los
grupos de reglas que administra por su cuenta.
Temas
• Lista de declaraciones de reglas (p. 36)
• Configuración del componente de la solicitud (p. 46)
• Declaraciones de reglas que hacen referencia a un conjunto o grupo de reglas (p. 49)
En esta página se agrupan las declaraciones de reglas por categoría, se proporciona una descripción de
alto nivel para cada una y un vínculo a una sección con más información para el tipo de declaración.
Declaraciones de coincidencia
Las declaraciones de coincidencia comparan la solicitud web o su origen con las condiciones que
proporciona. Para muchas declaraciones de este tipo, AWS WAF compara un componente específico de la
solicitud para buscar un contenido que coincida.
Restricción de Comprueba 1 Sí
tamaño (p. 43) restricciones de tamaño
con un componente de
solicitud especificado.
Las declaraciones de reglas lógicas le permiten combinar otras declaraciones o negar sus resultados.
Cada declaración de regla lógica necesita al menos una declaración anidada.
Declaraciones complejas
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En If a request (Si una solicitud), elija matches
all the statements (AND) (coincide con todas las declaraciones [AND]) y, a continuación, rellene las
declaraciones anidadas.
• API statement (Declaración de API): – AndStatement
Puede usarla para bloquear el acceso a su sitio desde países específicos o para permitir el acceso desde
países específicos. Si desea permitir algunas solicitudes web y bloquear otras en función del país de
origen, añada una declaración de coincidencia geográfica para los países que desea permitir y otra
declaración para los países que desea bloquear.
Puede utilizar declaraciones de coincidencia geográfica con otras declaraciones de AWS WAF para crear
filtros sofisticados. Por ejemplo, para bloquear determinados países, pero seguir permitiendo solicitudes
de un conjunto específico de direcciones IP de uno de esos países, podría crear una regla con la acción
establecida en Block y las siguientes declaraciones anidadas:
• Declaración AND
• Declaración de coincidencia geográfica en la que se enumeran los países que desea bloquear
• Declaración NOT
• Declaración de conjuntos de IP que especifica las direcciones IP que desea permitir
Otro ejemplo: si desea dar prioridad a los recursos para los usuarios de un determinado país, podría incluir
otra declaración de reglas basada en frecuencia para condición de coincidencia geográfica. Establezca un
límite de frecuencia mayor para los usuarios del país preferido y un límite de frecuencia menor para todos
los demás usuarios.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Geo match (Coincidencia geográfica): – Matriz de códigos de país para comparar con una coincidencia
geográfica. Deben ser códigos de país de dos caracteres, como [ "US", "CN" ], de los códigos ISO
de país alfa-2 de la norma internacional ISO 3166.
Dónde encontrarlo
Cuando añada o actualice las reglas en su grupo de reglas o ACL web, elija la opción IP set (Conjunto de
IP) y seleccione el nombre del conjunto de IP que desea utilizar.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Especificación de conjunto de IP: – Elija el conjunto de IP que desea utilizar de la lista o cree uno nuevo.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), elija
Originates from an IP address in (Se origina desde una dirección IP de).
• Página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas) de la consola: –
elija la opción Conjunto de IP (IP set).
• API statement (Declaración de API): – IPSetReferenceStatement
Un grupo de reglas administrado es Grupo de reglas de Reglas administradas por AWS, que es
gratuito para los clientes de AWS WAF, o un grupo de reglas administrado de AWS Marketplace, al que
puede suscribirse desde AWS Marketplace. Para obtener más información, consulte Grupos de reglas
administrados (p. 24).
Cuando añade un grupo de reglas a una ACL web, puede excluir reglas individuales del grupo para que
no se ejecuten y puede anular las acciones de todas las reglas del grupo de reglas, solo para contar. Para
obtener más información, consulte Cómo AWS WAF procesa una ACL web (p. 15).
Not nestable (No se puede anidar): – No se puede anidar este tipo de declaración en otras declaraciones y
no se puede incluir en ningún grupo de reglas. Puede incluirlo directamente en una ACL web.
Dónde encontrarlo
• Consola: – Durante el proceso de creación de una ACL web, en la página Add rules and rule
groups (Añadir reglas y grupos de reglas), elija Add managed rule groups (Añadir grupos de reglas
administrados) y, a continuación, busque y seleccione el grupo de reglas que desea usar.
• API statement (Declaración de API): – ManagedRuleGroupStatement
Por ejemplo, si desea bloquear las solicitudes que no provienen de un país específico, cree una
declaración NOT con la acción establecida en bloquear y anide una declaración de coincidencia geográfica
que especifique el país.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En If a request (Si una solicitud), elija doesn't match
the statement (NOT) (no coincide con la declaración [NOT]) y, a continuación, rellene la declaración
anidada.
• API statement (Declaración de API): – NotStatement
Declaración de regla OR
La declaración de regla OR combina declaraciones anidadas con lógica OR, por lo que una de las
declaraciones anidadas debe coincidir para que la declaración OR coincida. Requiere al menos una
declaración anidada.
Por ejemplo, si desea bloquear las solicitudes procedentes de un país específico o que contengan una
cadena de consulta específica, puede crear una declaración OR y anidar en ella una declaración de
coincidencia geográfica para el país y una declaración de coincidencia de cadena para la cadena de
consulta.
Si, como alternativa, desea bloquear las solicitudes que no provienen de un país específico o que
contengan una cadena de consulta específica, modifique la declaración OR anterior para anidar la
declaración de coincidencia geográfica en un nivel inferior, dentro de una declaración NOT. Este nivel de
anidamiento requiere que utilice el formato JSON, ya que la consola solo admite un nivel de anidamiento.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En If a request (Si una solicitud), elija matches
at least one of the statements (OR) (coincide con al menos una de las declaraciones [OR]) y, a
continuación, rellene las declaraciones anidadas.
• API statement (Declaración de API): – OrStatement
Cuando se activa la acción de la regla, AWS WAF bloquea las solicitudes adicionales de la dirección IP
hasta que la frecuencia de solicitudes sea inferior al límite.
Opcionalmente, puede anidar otra declaración en la declaración basada en frecuencia para reducir el
ámbito de la regla, de modo que solo cuente las solicitudes que coincidan con la declaración anidada.
Por ejemplo, en función de las últimas solicitudes que haya visto de un atacante, puede crear una regla
basada en frecuencia con una declaración AND lógica anidada que contenga las siguientes declaraciones
anidadas:
En esta regla basada en frecuencia defina también un límite de frecuencia. Supongamos que crea un límite
de frecuencia de 1000. Se cuentan las solicitudes que cumplen ambas condiciones de las declaraciones.
Si el recuento supera las 1000 solicitudes en cinco minutos, se activa la acción de la regla. Las solicitudes
que no cumplen ambas condiciones no se tienen en cuenta para el límite de frecuencia y no se ven
afectadas por esta regla.
Otro ejemplo: suponga que desea limitar las solicitudes de una determinada página de su sitio web. Para
ello, puede crear una regla basada en frecuencia con la siguiente declaración de coincidencia de cadena
anidada:
A continuación, especifique el límite que quiere colocar en las solicitudes a la página. Al añadir esta regla
basada en frecuencia a una ACL web, podría limitar las solicitudes de la página de inicio de sesión sin que
se vea afectado el resto del sitio.
Not nestable (No se puede anidar): – No se puede anidar este tipo de declaración en otras declaraciones.
Puede incluirlo directamente en una ACL web o directamente en un grupo de reglas.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), elija Rate
(Frecuencia).
• API statement (Declaración de API): – RateBasedStatement
Una declaración de coincidencia de conjuntos de patrones de regex indica a AWS WAF que debe buscar
cualquiera de los patrones del conjunto en el componente de solicitud que usted elija. Una solicitud web
coincidirá con la declaración de la regla del conjunto de patrones si el componente de la solicitud coincide
con cualquiera de los patrones del conjunto.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Request components – The part of the web request to inspect, for example, a query string or the body.
For more information, see Componentes de solicitud (p. 47).
• Optional text transformations – Transformations that you want AWS WAF to perform on the request
component before inspecting it. For example, you could transform to lowercase or normalize white space.
If you specify more than one transformation, AWS WAF processes them in the order listed. For more
information, see Transformaciones de texto (p. 48).
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Especificación de conjunto de patrones de regex: – Elija el conjunto de patrones de regex que desea
utilizar de la lista o cree uno nuevo.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija String
match condition (Condición de coincidencia de cadena) > Matches pattern from regular expression set
(Coincide con el patrón del conjunto de expresiones regulares).
• API statement (Declaración de API): – RegexPatternSetReferenceStatement
Cuando añade un grupo de reglas a una ACL web, puede excluir reglas individuales del grupo para que
no se ejecuten y puede anular las acciones de todas las reglas del grupo de reglas, solo para contar. Para
obtener más información, consulte Cómo AWS WAF procesa una ACL web (p. 15).
Not nestable (No se puede anidar): – No se puede anidar este tipo de declaración en otras declaraciones y
no se puede incluir en ningún grupo de reglas. Puede incluirlo directamente en una ACL web.
Dónde encontrarlo
• Consola: – Durante el proceso de creación de una ACL web, en la página Add rules and rule groups
(Añadir reglas y grupos de reglas), elija Add my own rules and rule groups (Añadir mis propias reglas
y grupos de reglas), Rule group (Grupo de reglas) y, a continuación, busque y seleccione el grupo de
reglas que desea usar.
• API statement (Declaración de API): – RuleGroupReferenceStatement
Si configura AWS WAF para que inspeccione el cuerpo de la solicitud, AWS WAF inspecciona
solo los primeros 8192 bytes (8 KB). Si el cuerpo de la solicitud para sus solicitudes web nunca
supera los 8192 bytes, puede crear una condición de restricción de tamaño y bloquear las
solicitudes que tengan un cuerpo de la solicitud que supere los 8192 bytes.
Note
Si elige URI para el valor de Part of the request to filter on, la / del URI se cuenta como un
carácter. Por ejemplo, la URI /logo.jpg tiene nueve caracteres.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Request components – The part of the web request to inspect, for example, a query string or the body.
For more information, see Componentes de solicitud (p. 47).
• Optional text transformations – Transformations that you want AWS WAF to perform on the request
component before inspecting it. For example, you could transform to lowercase or normalize white space.
If you specify more than one transformation, AWS WAF processes them in the order listed. For more
information, see Transformaciones de texto (p. 48).
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), en Size match
condition (Condición de coincidencia de tamaño), elija la condición que quiere usar.
• API statement (Declaración de API): – SizeConstraintStatement
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Request components – The part of the web request to inspect, for example, a query string or the body.
For more information, see Componentes de solicitud (p. 47).
• Optional text transformations – Transformations that you want AWS WAF to perform on the request
component before inspecting it. For example, you could transform to lowercase or normalize white space.
If you specify more than one transformation, AWS WAF processes them in the order listed. For more
information, see Transformaciones de texto (p. 48).
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija Attack
match conditions (Condiciones de coincidencia de ataques) > Contains SQL injection attacks (Contiene
ataques de inyección de código SQL).
• API statement (Declaración de API): – SqliMatchStatement
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
WCUs (WCU): – Depende del tipo de coincidencia que utilice. Por ejemplo, Starts with string
requiere 2 WCU, mientras que Contains string requiere 10.
• Request components – The part of the web request to inspect, for example, a query string or the body.
For more information, see Componentes de solicitud (p. 47).
• Optional text transformations – Transformations that you want AWS WAF to perform on the request
component before inspecting it. For example, you could transform to lowercase or normalize white space.
If you specify more than one transformation, AWS WAF processes them in the order listed. For more
information, see Transformaciones de texto (p. 48).
• String to match (Cadena que debe coincidir):: es la cadena que quiere que AWS WAF compare con el
componente de solicitud especificado.
• String match condition (Condición de coincidencia de cadena): indica el tipo de búsqueda que desea que
AWS WAF realice.
• Contains string (Contiene cadena): la cadena aparece en cualquier lugar del componente de la
solicitud.
• Exactly matches string (Coincide exactamente con la cadena): la cadena y el valor del componente de
la solicitud son idénticos.
• Starts with string (Comienza con la cadena): la cadena aparece al principio del componente de
solicitud.
• Ends with string (Termina con la cadena): la cadena aparece al final del componente de solicitud.
• Contains word (Contiene palabra): la cadena que especifique debe aparecer en el componente de
solicitud. Para esta opción, la cadena que especifique solo puede contener caracteres alfanuméricos o
guion bajo (A-Z, a-z, 0-9 o _).
Debe cumplirse una de las siguientes condiciones para que la solicitud coincida:
• La cadena coincide exactamente con el valor del componente de solicitud, como el valor de un
encabezado.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija String
match condition (Condición de coincidencia de cadena) y, a continuación, rellene las cadenas con las
que quiere que coincida.
• API statement (Declaración de API): – ByteMatchStatement
Cuando se crean condiciones de coincidencia de scripting entre sitios, se especifican filtros. Los filtros
indican la parte de las solicitudes web que desea que AWS WAF inspeccione para detectar scripts
maliciosos, como la URI o la cadena de consulta. Puede añadir más de un filtro a una condición de
coincidencia de scripting entre sitios o bien puede crear una condición independiente para cada filtro.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
• Request components – The part of the web request to inspect, for example, a query string or the body.
For more information, see Componentes de solicitud (p. 47).
• Optional text transformations – Transformations that you want AWS WAF to perform on the request
component before inspecting it. For example, you could transform to lowercase or normalize white space.
If you specify more than one transformation, AWS WAF processes them in the order listed. For more
information, see Transformaciones de texto (p. 48).
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija Attack
match conditions (Condiciones de coincidencia de ataques) > Contains XSS injection attacks (Contiene
ataques de inyección de scripting entre sitios).
• API statement (Declaración de API): – XssMatchStatement
Temas
• Componentes de solicitud (p. 47)
Componentes de solicitud
Los componentes de solicitud especifican las partes de una solicitud web que desea que AWS WAF
inspeccione. Los especifica para las declaraciones de regla estándar, como las que buscan patrones en la
solicitud web. Algunos ejemplos de estas declaraciones son: coincidencia de patrones de regex, ataque de
inyección de código de SQL y restricción de tamaño.
La documentación de la API y la consola de AWS WAF también proporcionan instrucciones para estas
configuraciones en las siguientes ubicaciones:
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), elija
Request components (Componentes de solicitud).
• API statement contents (Contenido de la declaración de API): – FieldToMatch
Encabezado
Encabezado de solicitud específico. Para esta opción, también puede elegir el nombre del encabezado
en el campo Header type (Tipo de encabezado); por ejemplo, User-Agent o Referer.
Método HTTP
El método HTTP indica el tipo de operación que la solicitud web pide al origen que lleve a cabo.
Cadena de consulta
Cualquier parámetro que haya definido como parte de la cadena de consulta. AWS WAF inspecciona
el valor del parámetro que especifique.
Para esta opción, también se especifica Query parameter name (Nombre de parámetro de consulta).
Si la dirección URL es www.xyz.com?UserName=abc&SalesRegion=seattle, por ejemplo,
puede especificar UserName o SalesRegion para el nombre. La longitud máxima de un nombre
es de 30 caracteres. El nombre no distingue entre mayúsculas y minúsculas, por lo que si especifica
UserName como nombre, AWS WAF busca coincidencias con todas las variantes de UserName,
como username y UsERName.
Si la cadena de consulta contiene más de una instancia del nombre especificado, AWS WAF
inspecciona todos los valores para buscar una coincidencia con la lógica OR. Por ejemplo, en la
dirección URL www.xyz.com?SalesRegion=boston&SalesRegion=seattle, AWS WAF evalúa
el nombre que ha especificado con boston y seattle. Si alguna de las dos es una coincidencia, la
inspección es una coincidencia.
Todos los parámetros de consulta
Es igual que Single query parameter (Parámetro de consulta único), pero AWS WAF inspecciona
los valores de todos los parámetros de la cadena de consulta. Por ejemplo, si la dirección URL es
Es la parte de una URL que identifica un recurso, por ejemplo, /images/daily-ad.jpg. Si no utiliza
ninguna transformación de texto con esta opción, AWS WAF no normaliza la URI y la inspecciona tal
como se recibe del cliente en la solicitud.
Cuerpo
La parte de la solicitud sigue inmediatamente a los encabezados de solicitudes. Contiene los datos
adicionales necesarios para la solicitud web, como los datos de un formulario.
Note
Solo los primeros 8 KB (8192 bytes) del cuerpo de la solicitud se reenvían a AWS WAF
para su inspección. Si no tiene que inspeccionar más de 8 KB, puede garantizar que no se
permitan bytes adicionales. Para ello, combine la declaración que inspecciona el cuerpo
de la solicitud web, como una declaración de regla de coincidencia de cadenas, con una
declaración de regla de restricción de tamaño que impone un tamaño máximo de 8 KB en el
cuerpo de la solicitud. Para obtener información acerca de las declaraciones de restricción
de tamaño, consulte Declaración de regla de restricción de tamaño (p. 43). AWS WAF no
admite la inspección de todo el contenido de las solicitudes web cuyos cuerpos superen los
8 KB.
Transformaciones de texto
En declaraciones que buscan restricciones de conjuntos o patrones, puede proporcionar transformaciones
para que AWS WAF las aplique antes de inspeccionar la solicitud. Una transformación reformatea una
solicitud web para eliminar parte del formato inusual que los atacantes utilizan con el objetivo de eludir
AWS WAF.
Si proporciona más de una transformación, también establece la orden para que AWS WAF las aplique.
La documentación de la API y la consola de AWS WAF también proporcionan instrucciones para estas
configuraciones en las siguientes ubicaciones:
• Rule builder (Generador de reglas) en la consola: – Text transformation (Transformación de texto). Esta
opción está disponible cuando se utilizan componentes de solicitud.
• API statement contents (Contenido de la declaración de API): – TextTransformations
Ninguno
AWS WAF sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &
AWS WAF sustituye varios espacios por uno solo y los siguientes caracteres por un carácter de
espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
• espacio de no separación, 160 decimales
Simplificar la línea de comandos
Esta opción mitiga situaciones en las que los atacantes podrían inyectar un comando de línea de
comandos del sistema operativo y utilicen un formato inusual para ocultar parte o la totalidad del
comando.
Las siguientes son las entidades reutilizables que se pueden utilizar en una declaración de regla.
• IP sets (Conjuntos de IP): – Cree y administre sus propios conjuntos de IP. En la consola, puede acceder
a ellos desde el panel de navegación. Para obtener más información acerca de la administración de
conjuntos de IP, consulte Conjuntos de IP y de patrones de expresiones regex (p. 50).
• Regex match sets (Conjuntos de coincidencias) – Cree y administre sus propios conjuntos de
coincidencias de regex. En la consola, puede acceder a ellos desde el panel de navegación. Para
obtener más información acerca de la administración de conjuntos de patrones de regex, consulte
Conjuntos de IP y de patrones de expresiones regex (p. 50).
• Grupos de reglas de Reglas administradas por AWS: – AWS administra estos grupos de reglas. En
la consola, podrá usarlos al añadir un grupo de reglas administrado a la ACL web. Para obtener
más información al respecto, consulte Lista de Grupos de reglas de Reglas administradas por
AWS (p. 27).
• AWS Marketplace managed rule groups (Grupos de reglas administrados de AWS Marketplace): –
los vendedores de AWS Marketplace administran estos grupos de reglas y usted puede suscribirse
para usarlos. Para administrar las suscripciones, en el panel de navegación de la consola, elija AWS
Marketplace. Los grupos de reglas administrados de AWS Marketplace aparecen cuando se añade un
grupo de reglas administrado a la ACL web. Para los grupos de reglas a los que aún no se haya suscrito,
también puede encontrar un enlace a AWS Marketplace en esa página. Para obtener más información
acerca de los grupos de reglas administrados por el vendedor de AWS Marketplace, consulte Grupos de
reglas administrados por AWS Marketplace (p. 30).
• Your own group rules (Sus propios grupos de reglas): – Puede administrar sus propios grupos de reglas,
normalmente cuando necesita algún comportamiento que no está disponible a través de los grupos de
reglas administrados. En la consola, puede acceder a ellos desde el panel de navegación. Para obtener
más información, consulte Grupos de reglas administrados por AWS Marketplace (p. 30).
Al eliminar una entidad a la que se hace referencia, AWS WAF comprueba si se está utilizando
actualmente en una ACL web. Si AWS WAF descubre que se está utilizando, le avisará. AWS WAF casi
siempre es capaz de determinar si alguna ACL web está haciendo referencia a una entidad. Sin embargo,
es posible que en algunas ocasiones no consiga hacerlo. Si tiene que asegurarse de que la entidad que
quiere eliminar no se está utilizando, compruebe las ACL web antes de eliminarla.
Consistencia final
Si realiza cambios en una ACL web o en un componente de ACL web (como reglas y grupos de reglas),
AWS WAF propaga los cambios a toda la ACL web y sus componentes se almacenan y se utilizan. Los
cambios se aplican en segundos, pero podría haber un breve período de inestabilidad en el que los
cambios podrían llegar a algunos sitios y a otros no. Por tanto, si, por ejemplo, añade una dirección IP a un
conjunto de direcciones IP al que se hace referencia en una regla de bloqueo de una ACL web, la nueva
dirección podría bloquearse brevemente en una zona y permitirse en otra. Esta inestabilidad temporal
podría producirse la primera vez que asocia una ACL web con un recurso de AWS y cuando cambia una
ACL web que ya está asociada con un recurso. Normalmente, las inconsistencias de este tipo solamente
suelen durar unos segundos.
Temas
• Creación y administración de un conjunto de IP (p. 51)
Para utilizar un conjunto de IP en una ACL web o en un grupo de reglas, primero tiene que crear un
recurso de AWS, IPSet con las especificaciones de la dirección. A continuación, tiene que hacer
referencia al conjunto al agregar la instrucción de regla de un conjunto de IP a una ACL web o a un grupo
de reglas.
Temas
• Creación de un conjunto de IP (p. 51)
• Uso de un conjunto de IP en un grupo de reglas o en una ACL web (p. 52)
• Edición de un conjunto de IP (p. 52)
• Eliminación de un conjunto de IP (p. 52)
Creación de un conjunto de IP
Siga el procedimiento de esta sección para crear un nuevo conjunto de IP.
Note
Además del procedimiento descrito en esta sección, tiene la opción de agregar un nuevo conjunto
de IP al añadir una regla de coincidencia de IP a su ACL web o grupo de reglas. Decantarse por
esa opción requiere proporcionar la misma configuración necesaria para este procedimiento.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija IP sets (Conjuntos de IP) y, a continuación, Create IP Set (Crear
conjunto de IP).
3. Introduzca un nombre y la descripción del conjunto de IP. Los usará para identificar el conjunto cuando
desee usarlo.
Note
Edición de un conjunto de IP
Para agregar o quitar direcciones IP o rangos de direcciones IP de un conjunto de IP, o bien cambiar su
descripción, siga el procedimiento que se describe a continuación.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija IP sets (Conjuntos de IP).
3. Seleccione el conjunto de IP que desee editar y haga clic en Edit (Editar).
4. Modifique la versión de IP y las direcciones según sea necesario. Es preciso que tenga una dirección
IP o un intervalo de direcciones IP por línea, en notación CIDR, en el cuadro de texto IP addresses
(Direcciones IP). AWS WAF admite todos los rangos CIDR IPv4 e IPv6. Para obtener más información
acerca de la notación CIDR, consulte el artículo de Wikipedia Classless Inter-Domain Routing. En
el caso de las direcciones, introduzca una dirección IP o un rango de direcciones IP por línea, en
notación CIDR.
5. Elija Save changes.
Eliminación de un conjunto de IP
Siga las instrucciones que se detallan en esta sección para eliminar un conjunto al que se haga referencia.
Si se elimina una entidad que se puede utilizar en una ACL web (como un conjunto de IP, un conjunto de
patrones regex o un conjunto de reglas), AWS WAF comprueba si la entidad se está utilizando actualmente
en alguna ACL web. Si descubre que se está utilizando, AWS WAF le avisará. AWS WAF casi siempre es
capaz de determinar si alguna ACL web está haciendo referencia a una entidad. Sin embargo, es posible
que en algunas ocasiones no consiga hacerlo. Si necesita asegurarse de que está entidad no se está
utilizando en ningún sitio, compruebe las ACL web antes de eliminarla. Si la entidad es un conjunto al que
se hace referencia, compruebe también que no hay ningún grupo de reglas que la esté utilizando.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija IP sets (Conjuntos de IP).
3. Seleccione el conjunto de IP que desee eliminar y seleccione Delete (Eliminar).
Para utilizar un patrón de expresiones regex establecido en una ACL web o en un grupo de reglas,
primero tiene que crear un recurso de AWS, RegexPatternSet con las especificaciones de patrones de
expresiones regex. A continuación, tiene que hacer referencia al conjunto al agregar la instrucción de regla
a un conjunto de patrones de expresiones regex a una ACL web o a un grupo de reglas. Un conjunto de
patrones de especificaciones regex debe contener al menos un patrón de especificaciones regex.
AWS WAF admite las expresiones regulares compatibles con Perl (PCRE) estándar con las siguientes
excepciones:
Temas
• Creación de un conjunto de patrones de expresiones regex (p. 53)
• Uso de un conjunto de patrones de expresiones regex en un grupo de reglas o en una ACL
Web (p. 54)
• Eliminación de un conjunto de patrones de expresiones regex (p. 54)
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Regex pattern sets (Conjuntos de patrones de expresiones regex) y, a
continuación, Create regex pattern set (Crear conjunto de patrones de expresiones regex).
3. Introduzca un nombre y una descripción para el conjunto de patrones de expresiones regex. Los usará
para identificar el conjunto cuando desee usarlo.
Por ejemplo, la expresión regular I[a@]mAB[a@]dRequest concuerda con las siguientes cadenas:
IamABadRequest, IamAB@dRequest, I@mABadRequest y I@mAB@dRequest.
AWS WAF admite las expresiones regulares compatibles con Perl (PCRE) estándar con las siguientes
excepciones:
Si se elimina una entidad que se puede utilizar en una ACL web (como un conjunto de IP, un conjunto de
patrones regex o un conjunto de reglas), AWS WAF comprueba si la entidad se está utilizando actualmente
en alguna ACL web. Si descubre que se está utilizando, AWS WAF le avisará. AWS WAF casi siempre es
capaz de determinar si alguna ACL web está haciendo referencia a una entidad. Sin embargo, es posible
que en algunas ocasiones no consiga hacerlo. Si necesita asegurarse de que está entidad no se está
utilizando en ningún sitio, compruebe las ACL web antes de eliminarla. Si la entidad es un conjunto al que
se hace referencia, compruebe también que no hay ningún grupo de reglas que la esté utilizando.
Versión de API 2019-07-29
54
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Registro de información del tráfico de la ACL web
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Regex pattern sets (Conjuntos de patrones de expresiones regex).
3. Seleccione el conjunto que desee eliminar y haga clic en Delete (Eliminar).
Para empezar, configure una instancia de Amazon Kinesis Data Firehose. Como parte de ese proceso,
elija un destino para almacenar sus registros. A continuación, elija la ACL web para la que desea habilitar
el registro. Después de habilitar el registro, AWS WAF ofrece registros a través de Firehose a su destino
de almacenamiento. Para obtener información sobre cómo crear una instancia de Amazon Kinesis y revisar
los registros almacenados, consulte ¿Qué es Amazon Kinesis Data Firehose?
• iam:CreateServiceLinkedRole
• firehose:ListDeliveryStreams
• wafv2:PutLoggingConfiguration
Para obtener más información acerca de los roles vinculados a servicios y el permiso
iam:CreateServiceLinkedRole, consulte Uso de funciones vinculadas a servicios en AWS
WAF (p. 75).
1. Cree una instancia de Amazon Kinesis Data Firehose con un nombre que empiece con el prefijo
aws-waf-logs-. Por ejemplo, aws-waf-logs-us-east-2-analytics. Cree la instancia de
Data Firehose con un origen PUT y en la región en la que opera. Si captura registros para Amazon
CloudFront, cree la instancia de Firehose en US East (N. Virginia). Para obtener más información,
consulte Creación de un Amazon Kinesis Data Firehose flujo de entrega.
Important
7. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos
campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea
necesario para redactar campos adicionales. Los campos redactados aparecen como XXX en los
registros. Por ejemplo, si redacta el campo cookie (cookie), el campo cookie (cookie) de los registros
será XXX.
8. Elija Enable logging (Habilitar el registro).
Note
Al habilitar el registro correctamente, AWS WAF creará un rol vinculado al servicio con los
permisos necesarios para escribir registros en la instancia de Amazon Kinesis Data Firehose.
Para obtener más información, consulte Uso de funciones vinculadas a servicios en AWS
WAF (p. 75).
{
"timestamp": 1576280412771,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:ap-southeast-2:EXAMPLE12345:regional/webacl/
STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
"terminatingRuleId": "STMTest_SQLi_XSS",
"terminatingRuleType": "REGULAR",
"action": "BLOCK",
"terminatingRuleMatchDetails": [
{
"conditionType": "SQL_INJECTION",
"location": "HEADER",
"matchedData": [
"10",
"AND",
"1"
]
}
],
"httpSourceName": "-",
"httpSourceId": "-",
"ruleGroupList": [],
"rateBasedRuleList": [],
"nonTerminatingMatchingRules": [],
"httpRequest": {
"clientIp": "1.1.1.1",
"country": "AU",
"headers": [
{
"name": "Host",
"value": "localhost:1989"
},
{
"name": "User-Agent",
"value": "curl/7.61.1"
},
{
"name": "Accept",
"value": "*/*"
},
{
"name": "x-stm-test",
"value": "10 AND 1=1"
}
],
"uri": "/foo",
"args": "",
"httpVersion": "HTTP/1.1",
"httpMethod": "GET",
"requestId": "rid"
}
}
timestamp
El tipo de regla que terminó la solicitud. Valores posibles: RATE_BASED, REGULAR y GROUP.
action
La acción. Valores posibles para una regla de terminación: ALLOW y BLOCK. COUNT no es un valor
válido para una regla de terminación.
terminatingRuleMatchDetails
Información detallada sobre la regla de terminación que coincide con la solicitud. Una regla de
terminación tiene una acción que finaliza el proceso de inspección ante una solicitud web. Las
acciones posibles para una regla de terminación son ALLOW y BLOCK. Esto solo se rellena para las
instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). Al
igual que sucede con todas las declaraciones de reglas que inspeccionan más de un aspecto, AWS
WAF aplica la acción en la primera coincidencia y deja de inspeccionar la solicitud web. Una solicitud
web con una acción de terminación podría contener otras amenazas, además de la indicada en el
registro.
httpSourceName
El origen de la solicitud. Valores posibles: CF (si el origen es Amazon CloudFront), APIGW (si el origen
es Amazon API Gateway) y ALB (si el origen es un Balanceador de carga de aplicaciones).
httpSourceId
La lista de grupos de reglas que actuaron en esta solicitud. En el ejemplo de código anterior, solo
aparece uno.
ruleGroupId
La regla del grupo de reglas que terminó la solicitud. Si este es un valor distinto de NULL, también
contiene un ruleid (id de regla) y una action (acción). En este caso, la acción siempre es BLOCK.
nonTerminatingMatchingRules
La lista de reglas del grupo de reglas de no terminación que coinciden con la solicitud. Siempre son
reglas COUNT (reglas coincidentes que no son de terminación).
acción (grupo nonTerminatingMatchingRules)
El ID de la regla del grupo de reglas que coincide con la solicitud y no era de terminación. Es decir,
reglas COUNT.
excludedRules
La lista de reglas del grupo de reglas que ha excluido. La acción para estas reglas se establece en
COUNT.
exclusionType (excludedRules group)
El campo que usa AWS WAF para determinar si es probable que las solicitudes lleguen de una única
fuente y, por tanto, estén sujetas a la monitorización de frecuencia. Valor posible: IP.
maxRateAllowed
El número máximo de solicitudes, que tienen un valor idéntico en el campo especificado por
limitKey, permitido en un periodo de cinco minutos. Si el número de solicitudes supera el valor de
maxRateAllowed y los otros predicados especificados en la regla también se cumplen, AWS WAF
desencadena la acción que se especifica para esta regla.
httpRequest
La lista de encabezados.
El URI de la solicitud. En el ejemplo de código anterior se muestra cuál sería el valor si este campo se
hubiera ocultado.
args
La cadena de consulta.
httpVersion
La versión de HTTP.
httpMethod
El ID de la solicitud.
A continuación se muestra la sintaxis para recuperar la lista de direcciones IP bloqueadas para una regla
basada en frecuencia que se está utilizando en una distribución de Amazon CloudFront.
A continuación se muestra la sintaxis de una aplicación regional, una API de Amazon API Gateway o un
elemento Balanceador de carga de aplicaciones.
Temas
• Uso de AWS WAF con CloudFront con páginas de error personalizadas (p. 60)
• Uso de AWS WAF con restricción geográfica de CloudFront (p. 60)
Si prefiere mostrar un mensaje de error personalizado, utilizando el mismo formato que el resto de su sitio
web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que
contenga el mensaje de error personalizado.
Note
CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno
devuelto por AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver
diferentes páginas de error personalizadas en función de las diferentes causas de un código de
estado HTTP 403.
Para obtener más información sobre las páginas de error personalizadas de CloudFront, consulte
Personalización de respuestas de error en la Guía para desarrolladores de Amazon CloudFront.
Para obtener más información sobre la restricción geográfica de CloudFront, consulte Restricción de la
distribución geográfica de su contenido en la Guía para desarrolladores de Amazon CloudFront.
Para exigir HTTPS entre los visores y CloudFront, puede cambiar la política de protocolo de visor para
uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información
acerca del uso de HTTPS entre visores y CloudFront, consulte el tema Exigir HTTPS para la comunicación
entre visores y CloudFront en la Guía para desarrolladores de Amazon CloudFront. También puede traer
su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través
de HTTPS utilizando su propio nombre de dominio, por ejemplo https://www.mysite.com. Para obtener
más información, consulte el tema Configurar nombres de dominio alternativos y HTTPS en la Guía para
desarrolladores de Amazon CloudFront.
• GET, HEAD–: puede usar CloudFront solo para obtener los objetos desde su origen u obtener
encabezados de objeto.
• GET, HEAD, OPTIONS–: puede utilizar CloudFront solo para obtener objetos del origen, obtener
encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.
• GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE–: puede utilizar CloudFront para obtener,
agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede
realizar otras operaciones de POST como enviar datos desde un formulario web.
También puede utilizar instrucciones de regla de coincidencia de bytes de AWS WAF para permitir
o bloquear solicitudes basadas en el método HTTP, como se describe en Declaración de regla de
coincidencia de cadena (p. 45). Si desea utilizar una combinación de métodos admitidos por
CloudFront, como GET y HEAD, no es necesario configurar AWS WAF para bloquear las solicitudes
que utilizan los demás métodos. Si desea permitir una combinación de métodos que no admitidos por
CloudFront, como GET, HEAD y POST, puede configurar CloudFront para responder a todos los métodos y,
a continuación, utilizar AWS WAF para bloquear solicitudes que utilicen otros métodos.
Para obtener más información acerca de la elección de los métodos a los que responde CloudFront,
consulte Métodos HTTP permitidos en el tema Valores que especifica al crear o actualizar una distribución
web en la Guía para desarrolladores de Amazon CloudFront.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando
se utiliza AWS WAF. En los siguientes temas, se le mostrará cómo configurar AWS WAF para satisfacer
sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que
le ayudan a supervisar y proteger sus recursos de AWS WAF.
Temas
• Protección de los datos en AWS WAF (p. 62)
• Identity and Access Management en AWS WAF (p. 63)
• Registro y monitorización en AWS WAF (p. 77)
• Validación de la conformidad en AWS WAF (p. 78)
• Resiliencia en AWS WAF (p. 78)
• Seguridad de la infraestructura en AWS WAF (p. 78)
Entidades de AWS WAF, como ACL web, grupos de reglas y conjuntos de IP, están cifradas en reposo,
excepto en determinadas regiones en las que el cifrado no está disponible, incluida China (Pekín) y China
(Ningxia). Para cada región se utilizan claves de cifrado únicas.
Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS y
configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que
a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. También
le recomendamos proteger sus datos de las siguientes formas:
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo
de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.
Autenticación
Puede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS: Cuando se crea por primera vez una cuenta de AWS, se comienza
con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos
de AWS de la cuenta. Esta identidad recibe el nombre de AWS de la cuenta de usuario raíz y se obtiene
acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para
crear la cuenta. Le recomendamos que no utilice usuario raíz en sus tareas cotidianas, ni siquiera
en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar
exclusivamente usuario raíz para crear el primer usuario de IAM. A continuación, guarde las credenciales
de usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración de
cuentas y servicios.
• Usuario de IAM: –un usuario de IAM es una identidad dentro de una cuenta de AWS que tiene permisos
personalizados específicos (por ejemplo, permisos para crear un una regla en AWS WAF). Puede utilizar
un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras de AWS,
como la Consola de administración de AWS, los foros de debate de AWS o el AWS Support Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para
cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación,
ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y
las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza
las herramientas de AWS, debe firmar usted mismo la solicitud. AWS WAF admite Signature Version
4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acerca
de la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General
Reference.
• Rol de IAM–: Los roles de IAM de Un rol de IAM es una identidad de IAM con permisos específicos
que puede crear en su cuenta. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una
identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no en
AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier
usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo
plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este
proporciona credenciales de seguridad temporales para la sesión de rol. con credenciales temporales
son útiles en las siguientes situaciones:
• Acceso de usuarios federados: – En lugar de crear un usuario de IAM, puede utilizar identidades
existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de
identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a
un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener
más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del
usuario de IAM.
• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizar
acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,
debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos que
son necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles de
servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando
se cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solo
dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede
crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permita
a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar
los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte
Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan
solicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves de
acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición
de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia
contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales
temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a
aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de acceso
Aunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear los
recursos de AWS WAF ni obtener acceso a ellos. Por ejemplo, debe tener permisos para crear una ACL
web o un grupo de reglas de AWS WAF.
En las secciones siguientes se describe cómo administrar los permisos de AWS WAF. Le recomendamos
que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS
WAF (p. 65)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF (p. 69)
• Permisos de la API de AWS WAF: información acerca de acciones, recursos y condiciones (p. 73)
Por ejemplo, puede utilizar IAM con AWS WAF para controlar qué usuarios de su cuenta de AWS pueden
crear una ACL web nueva.
Para obtener más información general sobre IAM, consulte la siguiente documentación:
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen
permisos y qué operaciones específicas desea permitir en esos recursos.
Temas
• Recursos y operaciones de AWS WAF (p. 65)
• Titularidad de los recursos (p. 66)
• Administración del acceso a los recursos (p. 66)
• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 68)
• Especificación de las condiciones de una política (p. 68)
Conjunto de RegexPatternSetarn:aws:wafv2:region:account:regexpatternset/
patrones de ID
expresiones
regex
Para permitir o denegar el acceso a un subconjunto de recursos de AWS WAF, incluya el ARN del recurso
en el elemento resource de la política. Los ARN de AWS WAF tienen el siguiente formato:
arn:aws:wafv2:region:account:resource/ID
Sustituya las variables account, resource e ID por valores válidos. Los valores válidos pueden ser los
siguientes:
Por ejemplo, el siguiente ARN especifica todas las ACL web de la cuenta 111122223333 en la región us-
east-1:
arn:aws:wafv2:us-east-1:111122223333:webacl/*
Para obtener más información, consulte Recursos en la Guía del usuario de IAM.
AWS WAF proporciona un conjunto de operaciones para trabajar con recursos de AWS WAF. Para obtener
una lista de operaciones disponibles, consulte Acciones.
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de AWS WAF, su
cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de AWS
WAF, el usuario podrá crear un recurso de AWS WAF. Sin embargo, su cuenta de AWS, a la que
pertenece el usuario, será la propietaria del recurso de AWS WAF.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de AWS WAF, cualquier
persona que pueda asumir el rol podrá crear un recurso de AWS WAF. Sin embargo, su cuenta de AWS,
a la que pertenece el rol, será la propietaria del recurso de AWS WAF.
Note
Las políticas de IAM asociadas a una identidad de IAM se conocen como políticas basadas en identidad
y las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS WAF solo
admite políticas basadas en identidad.
Temas
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
Si desea obtener más información sobre el uso de IAM para delegar permisos, consulte Administración
de accesos en la Guía del usuario de IAM.
{
"Version": "2019-07-29",
"Statement": [
{
"Sid": "ListWebACLs",
"Effect": "Allow",
"Action": [
"wafv2:ListWebACLs"
],
"Resource": "*"
}
]
}
Para obtener más información acerca del uso de políticas basadas en identidad con AWS WAF, consulte
Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF (p. 69). Para obtener más
información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades (usuarios, grupos y
roles) en la Guía del usuario de IAM.
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por
ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho
bucket. AWS WAF no admite políticas basadas en recursos.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al que
se aplican. Para obtener más información, consulte Recursos y operaciones de AWS WAF (p. 65).
• Acción – utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir
o denegar. Por ejemplo, con el permiso wafv2:CreateRuleGroup, los usuarios pueden realizar la
operación CreateRuleGroup de AWS WAF.
• Efecto–: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se
puede permitir o denegar. Si no concede acceso de forma explícita a un recurso, el acceso se deniega
implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que
un usuario no pueda tener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se asocia
esta política es la entidad principal implícita. AWS WAF no admite las políticas basadas en recursos.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte
Referencia de políticas de AWS IAM en la Guía del usuario de IAM.
Para ver una tabla de todas las acciones de la API de AWS WAF y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF: información acerca de acciones, recursos y
condiciones (p. 73).
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición
específicas para AWS WAF. No obstante, existen claves de condición que se aplican a todo AWS que
puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte
Claves disponibles para condiciones en la Guía del usuario de IAM.
Le recomendamos que consulte primero los temas de introducción en los que se explican los
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS
WAF. Para obtener más información, consulte Información general sobre la administración de los
permisos de acceso a los recursos de AWS WAF (p. 65).
{
"Version": "2019-07-29",
"Statement": [
{
"Sid": "CreateFunctionPermissions",
"Effect": "Allow",
"Action": [
"wafv2:ListWebACLs",
"wafv2:GetWebACL",
"cloudwatch:ListMetrics",
"wafv2:GetSampledRequests"
],
"Resource": "*"
},
{
"Sid": "PermissionToPassAnyRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/*"
}
]
}
• La primera declaración concede permisos para consultar las estadísticas de las ACL web de AWS WAF,
mediante las acciones wafv2:ListWebACLs, wafv2:GetWebACL, cloudwatch:ListMetrics y
wafv2:GetSampledRequests. AWS WAF no admite permisos para algunas de estas acciones en el
nivel de recursos. Por lo tanto, la política especifica un comodín (*) como valor de Resource .
• La segunda declaración concede permisos para la acción de IAM iam:PassRole en funciones de IAM.
El carácter comodín (*) que aparece al final del valor Resource significa que la declaración concede
permisos para la acción iam:PassRole en cualquier rol de IAM. Para extender solo estos permisos
a un rol específico, reemplace el carácter comodín (*) en el ARN del recurso por el nombre de rol
específico.
el elemento principal implícito. Cuando asocia una política de permisos a una función de IAM, el elemento
principal identificado en la política de confianza de rol obtiene los permisos.
Para ver una tabla de todas las acciones de la API de AWS WAF y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF: información acerca de acciones, recursos y
condiciones (p. 73).
Temas
• Permisos necesarios para usar la consola de AWS WAF (p. 70)
• Políticas administradas (predefinidas) de AWS para AWS WAF (p. 70)
• Ejemplos de políticas administradas por el cliente (p. 70)
Las siguientes políticas administradas de AWS, que puede asociar a los usuarios de su cuenta, son
específicas de AWS WAF y se agrupan según los escenarios de caso de uso:
Note
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las
políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos para
operaciones y recursos de API de AWS WAF. Puede asociar estas políticas personalizadas a los usuarios
o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles de IAM) que
crea para sus recursos de AWS WAF.
Puede utilizar la consola para comprobar los efectos de cada política a medida que asocia la política
al usuario. En un primer momento, como el usuario no tiene permisos, no puede hacer nada más en la
consola. Cuando asocia políticas al usuario, puede comprobar que el usuario puede realizar diversas
operaciones en la consola.
Le recomendamos que utilice dos ventanas del navegador: una para crear el usuario y concederle
permisos y otra para iniciar sesión en la Consola de administración de AWS con las credenciales de
usuario y comprobar los permisos a medida que se los concede al usuario.
Para ver ejemplos que ilustran cómo crear un rol de IAM que puede utilizar como rol de ejecución en el
recurso de AWS WAF, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF, CloudFront y CloudWatch (p. 71)
• Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF, CloudFront y CloudWatch (p. 71)
• Ejemplo 3: Conceder acceso a una cuenta de AWS determinada (p. 72)
• Ejemplo 4: Conceder acceso a una ACL determinada (p. 73)
Para obtener instrucciones, consulte Creación del primer grupo de usuarios y administradores de IAM en la
Guía del usuario de IAM.
Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF, CloudFront y CloudWatch
La siguiente política concede a los usuarios acceso de solo lectura a los recursos de AWS WAF, a las
distribuciones web de Amazon CloudFront y a las métricas de Amazon CloudWatch. Resulta muy útil para
los usuarios que necesitan permiso para ver la configuración de las condiciones, reglas y ACL web de
AWS WAF para comprobar que la distribución se asocia a una ACL web y monitorizar las métricas y una
muestra de solicitudes de CloudWatch. Estos usuarios no pueden crear, actualizar ni eliminar recursos de
AWS WAF.
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"wafv2:Get*",
"wafv2:List*",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF, CloudFront y CloudWatch
La siguiente política permite a los usuarios realizar cualquier operación de AWS WAF, realizar cualquier
operación en distribuciones web de CloudFront y monitorizar las métricas y una muestra de las solicitudes
de CloudWatch. Resulta muy útil para los usuarios que son administradores de AWS WAF:
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"wafv2:*",
"cloudfront:CreateDistribution",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:UpdateDistribution",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:DeleteDistribution",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Recomendamos encarecidamente que configure la autenticación multifactor (MFA) para los usuarios
que tienen permisos administrativos. Para obtener más información, consulte Uso de Multi-Factor
Authentication (MFA) en AWS en la Guía del usuario de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:UpdateDistribution",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
• Acceso completo a las operaciones y recursos Get, Update y Delete de AWS WAF
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:webacl/112233d7c-86b2-458b-
af83-51c51example"
]
}
]
}
Para especificar una acción, use el prefijo wafv2: seguido del nombre de operación de la API
(por ejemplo, wafv2:CreateIPSet).
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS WAF para expresar
condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para
condiciones en la Guía del usuario de IAM.
• Para las distribuciones de CloudFront, establezca el valor de scope en global y el valor de region en
us-east-1.
• Para las API de API Gateway y el Balanceador de carga de aplicaciones, establezca el valor de scope
en regional y el valor de region en la región que le interese.
Este patrón se aplica a las ACL web, grupos de reglas, conjuntos de IP y conjuntos de patrones de
expresiones regulares.
Operaciones CRUD
Operaciones de lista
Si desea enumerar todos los recursos de su cuenta, llame a la operación de lista una vez para la
configuración mundial y una vez para cada región de aplicación regional.
Para cada operación, enumeramos las acciones de política necesarias y sus recursos de política
asociados.
AssociateWebACL
Recursos:
arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/
app/ApplicationLoadBalancerName/ApplicationLoadBalancerID
CheckCapacity
Recurso: requiere permisos en todos los ARN a los que se hace referencia en las reglas contenidas.
No requiere ningún otro permiso.
DescribeManagedRuleGroup
Recurso: arn:aws:wafv2:region:account-id:scope/managedruleset/*
DisassociateWebACL
Recursos:
arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/
app/ApplicationLoadBalancerName/ApplicationLoadBalancerID
GetRateBasedStatementManagedKeys
Recurso: arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
GetSampledRequests
Recurso: los permisos a nivel de recursos dependen de los parámetros que especifique en la llamada
a la API. Debe tener acceso a la ACL web que corresponde a la solicitud de muestras. Por ejemplo:
arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
ListAvailableManagedRuleGroups
Recurso: arn:aws:wafv2:region:account-id:scope/managedruleset/*
Con una función vinculada a servicios, resulta más sencillo configurar AWS WAF, porque no es preciso
agregar los permisos necesarios manualmente. AWS WAF define los permisos de las funciones vinculadas
con su propio servicio y, a menos que esté definido de otra manera, solo AWS WAF puede asumir sus
funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política
de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del
rol. De esta forma, se protegen los recursos de AWS WAF, ya que se evita que se puedan eliminar
accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios
de AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado a
servicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al
servicio en cuestión.
AWS WAF utiliza este rol vinculado a servicios para escribir registros en Amazon Kinesis Data Firehose.
Este rol solo se utiliza si habilita la escritura de registros en AWS WAF. Para obtener más información,
consulte Registro de información del tráfico de la ACL web (p. 55).
Las políticas de permisos del rol permiten que AWS WAF realice las siguientes acciones en los recursos
especificados:
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,
editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte
Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para
volver a crear el rol en su cuenta. Al habilitar los registros de AWS WAF, AWS WAF se encarga de volver
crear automáticamente el rol vinculado al servicio.
Si el servicio AWS WAF está utilizando el rol cuando intenta eliminar los recursos, la eliminación
podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
1. En la consola de AWS WAF, quite el registro de todas las ACL web. Para obtener más información,
consulte Registro de información del tráfico de la ACL web (p. 55).
2. Mediante la API o la CLI, envíe una solicitud DeleteLoggingConfiguration para cada ACL web
que tenga habilitado el registro. Para obtener más información, consulte Referencia de la API de AWS
WAF.
Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicio
AWSServiceRoleForWAFV2Logging. Para obtener más información, consulte Eliminar un rol vinculado a
un servicio en la Guía del usuario de IAM.
Con las alarmas de CloudWatch, puede ver una métrica determinada durante el periodo especificado.
Si la métrica supera un determinado umbral, CloudWatch envía una notificación a un tema de Amazon
SNS o política de AWS Auto Scaling. Para obtener más información, consulte Monitorear con Amazon
CloudWatch (p. 306).
Registros de AWS CloudTrail
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de
AWS en AWS WAF. Mediante la información que recopila CloudTrail, se puede determinar la solicitud
que se envió a AWS WAF, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud,
cuándo la realizó y detalles adicionales. Para obtener más información, consulte Registro de llamadas
a la API con AWS CloudTrail (p. 311).
AWS Trusted Advisor
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de
clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuando
surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar
a cerrar deficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones
de Trusted Advisor. Los clientes con un plan de soporte Business o Enterprise pueden ver todas las
comprobaciones de Trusted Advisor. Para obtener más información, consulte AWS Trusted Advisor.
Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,
consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,
consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más
información, consulte la sección Descarga de informes en AWS Artifact.
Para obtener más información sobre las zonas de disponibilidad y las regiones de AWS, consulte
Infraestructura global de AWS.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS WAF a través de la
red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con
conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)
o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y
posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso
secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token
Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
AWS WAF tiene cuotas predeterminadas en el número máximo de entidades que puede tener por cuenta.
Puede solicitar un aumento de dichas cuotas.
Recurso Cuota
predeterminada
Solicitudes por segundo por ACL web (solo se aplica a instancias de Balanceador 10 000
de carga de aplicaciones)
El máximo de solicitudes por segundo (RPS) permitido para AWS WAF en CloudFront lo establece
CloudFront y se describe en la Guía para desarrolladores deCloudFront.
Recurso Quota
Direcciones IP únicas que se pueden bloquear por regla basada en frecuencia 10 000
Tamaño máximo del cuerpo de una solicitud web que se puede inspeccionar 8 KB
Recurso Quota
Frecuencia de solicitudes mínima que se puede definir para una regla basada en 100
frecuencia
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic es un firewall de aplicaciones web que le permite monitorizar las solicitudes HTTP y
HTTPS que se reenvíen a una API de Amazon API Gateway, Amazon CloudFront o a un Balanceador de
carga de aplicaciones. AWS WAF Classic también permite controlar el acceso a su contenido. En función
de las condiciones que especifique, como las direcciones IP de las que provienen las solicitudes o los
valores de las cadenas de consulta, API Gateway, CloudFront o un Balanceador de carga de aplicaciones
responde a las solicitudes con el contenido solicitado o con un código de estado HTTP 403 (Prohibido).
También puede configurar CloudFront para devolver una página de error personalizada cuando se bloquea
una solicitud.
Temas
• Configuración de AWS WAF Classic (p. 81)
• Cómo funciona AWS WAF Classic (p. 85)
• Precios de AWS WAF Classic (p. 88)
• Introducción a AWS WAF Classic (p. 88)
• Tutoriales de AWS WAF Classic (p. 99)
• Creación y configuración de una lista de control de acceso web (ACL web) (p. 135)
• Registro de información del tráfico de la ACL web (p. 184)
• Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia (p. 189)
• Cómo funciona AWS WAF Classic con Características de Amazon CloudFront (p. 189)
• Seguridad en AWS WAF Classic (p. 191)
• Cuotas de AWS WAF Classic (p. 217)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
En este tema se describen los pasos preliminares, como la creación de una cuenta de AWS, para
prepararle para el uso de AWS WAF Classic. No se cobrará por configurar esta cuenta y otros elementos
preliminares. Solo se cobrará por los servicios de AWS que utilice.
Note
Si es un usuario nuevo, no siga estos pasos de configuración para AWS WAF Classic. En su
lugar, siga los pasos para la versión más reciente de AWS WAF, en Configuración (p. 3).
Después de realizar estos pasos, consulte Introducción a AWS WAF Classic (p. 88) para continuar con
la introducción a AWS WAF Classic.
Note
AWS Shield Standard está incluido en AWS WAF Classic y no requiere más configuración. Para
obtener más información, consulte Funcionamiento de AWS Shield (p. 272).
Antes de usar AWS WAF Classic o AWS Shield Advanced por primera vez, realice las siguientes tareas:
Si ya dispone de una cuenta de AWS, pase a la siguiente tarea. Si no dispone de una cuenta de AWS,
utilice el siguiente procedimiento para crear una.
1. Abra https://portal.aws.amazon.com/billing/signup.
2. Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de
verificación en el teclado del teléfono.
A continuación, puede iniciar sesión en la consola de AWS WAF Classic (y las de otros servicios) mediante
una URL especial y la credenciales del usuario de IAM También puede añadir otros usuarios a la cuenta de
usuario de IAM y controlar su nivel de acceso a los servicios de AWS y a sus recursos.
Note
Para obtener más información sobre la creación de claves de acceso para acceder a AWS
WAF Classic mediante AWS Command Line Interface (AWS CLI), Herramientas para Windows
PowerShell, los SDK de AWS o la API de AWS WAF Classic, consulte Administración de las
claves de acceso de los usuarios de IAM.
Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo en la consola de
IAM. Si no está familiarizado con el uso de la consola, consulte Trabajar con la Consola de administración
de AWS para obtener una visión general.
1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión
como Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/
iam/.
Note
Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la los
permisos AdministratorAccess para el acceso a la consola de AWS Billing and Cost
Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre
cómo delegar el acceso a la consola de facturación.
12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es
necesario para ver el grupo en la lista.
13. Elija Next: Tags (Siguiente: Etiquetas).
14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener
más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la
Guía del usuario de IAM.
15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.
Cuando esté listo para continuar, elija Create user (Crear usuario).
Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso
a los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringen
los permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticas
de ejemplo.
Para iniciar sesión como un nuevo usuario de IAM, cierre antes la sesión en la consola AWS. A
continuación, use la URL siguiente, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin
guiones. Por ejemplo, si el número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS es
123456789012:
https://your_aws_account_id.signin.aws.amazon.com/console/
Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en
la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".
Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,
puede crear un alias de cuenta. En el panel IAM, seleccione Customize (Personalizar) y especifique un
alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la
siguiente dirección URL:
https://your_account_alias.signin.aws.amazon.com/console/
Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAM y
consulte el enlace de inicio de sesión de los usuarios de IAM en el panel.
Después de realizar estos pasos, puede dejarlo aquí e ir a Introducción a AWS WAF Classic (p. 88)
para continuar con la introducción a AWS WAF Classic utilizando la consola. Si desea obtener acceso a
AWS WAF Classic mediante programación con la API de AWS WAF Classic, continúe con el siguiente
paso, Paso 3: Descargar las herramientas (p. 84).
• Si desea usar la API de AWS WAF Classic sin tratar con detalles de bajo nivel, como el ensamblaje de
solicitudes HTTP sin procesar, puede utilizar un SDK de AWS. Los SDK de AWS ofrecen funciones y
tipos de datos que incorporan la funcionalidad de AWS WAF Classic y otros servicios de AWS. Para
descargar un SDK de AWS, consulte la página correspondiente, que también incluye requisitos previos e
instrucciones de instalación:
• Java
• JavaScript
• .NET
• Node.js
• PHP
• Python
• Ruby
Para obtener una lista completa de los SDK de AWS, consulte Herramientas para Amazon Web
Services.
• Si AWS no incluye un SDK para el lenguaje de programación que utiliza, la Referencia de la API de AWS
WAF recoge las operaciones admitidas por ese AWS WAF Classic.
• La AWS Command Line Interface (AWS CLI) admite AWS WAF Classic. La AWS CLI permite controlar
varios servicios de AWS desde la línea de comandos y automatizarlos mediante scripts. Para obtener
más información, consulte AWS Command Line Interface.
Versión de API 2019-07-29
84
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Cómo funciona AWS WAF Classic
• Herramientas de AWS para Windows PowerShell admite AWS WAF Classic. Para obtener más
información, consulte Herramientas de AWS para PowerShell Cmdlet Reference.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Puede usar AWS WAF Classic para controlar cómo API Gateway, Amazon CloudFront o un Balanceador
de carga de aplicaciones responde a las solicitudes web. Comience creando condiciones, reglas y listas de
control de acceso a la web (ACL a la web). Puede definir sus condiciones, agruparlas en reglas y combinar
las reglas en una ACL web.
Note
También puede utilizar AWS WAF Classic para proteger las aplicaciones que están alojadas en
contenedores Amazon Elastic Container Service (Amazon ECS). Amazon ECS es un servicio de
administración de contenedores muy escalable y rápido que facilita la tarea de ejecutar, detener
y administrar contenedores de Docker en un clúster. Para utilizar esta opción, debe configurar
Amazon ECS para que utilice un Balanceador de carga de aplicaciones habilitado para AWS WAF
Classic a fin de que dirija y proteja el tráfico HTTP y HTTPS (o de capa 7) de las tareas de su
servicio. Para obtener más información, consulte el tema Balanceo de carga de los servicios en la
Amazon Elastic Container Service Developer Guide.
Condiciones
Las condiciones definen las características básicas que desea que AWS WAF Classic vea en las
solicitudes web:
• Scripts que probablemente sean maliciosos. Los atacantes incrustan scripts que pueden aprovechar
vulnerabilidades en aplicaciones web. Esto es lo que se conoce como scripts entre sitios.
• Direcciones IP o rangos de direcciones de las que procedan las solicitudes.
• País o ubicación geográfica de donde provienen las solicitudes.
• Longitud de determinadas partes de la solicitud, como la cadena de consulta.
• Código SQL que puede ser malicioso. Los atacantes tratan de extraer los datos de su base de datos
incrustando código SQL malicioso en una solicitud web. Esto es lo que se conoce como inyección
de código SQL.
• Cadenas que aparecen en la solicitud, por ejemplo, valores que aparecen en el encabezado de
User-Agent o cadenas de texto que aparecen en la cadena de consulta. También puede utilizar
expresiones regulares (regex) para especificar estas cadenas.
Algunas condiciones adoptan valores diversos. Por ejemplo, puede especificar hasta 10,000
direcciones IP o rangos de direcciones de IP en una condición IP.
Reglas
Puede combinar condiciones en reglas para dirigir con precisión las solicitudes que desea permitir,
bloquear o contar. AWS WAF Classic proporciona dos tipos de reglas:
Regla normal
Las reglas normales solo usan condiciones para dirigirse a solicitudes específicas. Por ejemplo,
de acuerdo con las últimas solicitudes que haya visto de un atacante, puede crear una regla que
incluya las siguientes condiciones:
Cuando una regla incluya varias condiciones, como en este ejemplo, AWS WAF Classic buscará
las solicitudes que coincidan con todas las condiciones; es decir, unirá las condiciones mediante
AND.
Añada al menos una condición para una regla normal. Una regla normal sin condiciones no puede
coincidir con ninguna solicitud, por lo que la acción de la regla (permitir, contar o bloquear) nunca
se activa.
Regla basada en frecuencia
Las reglas basadas en frecuencia son como las reglas normales con un límite de frecuencia
añadido. Una regla basada en frecuencia cuenta las solicitudes que llegan de direcciones IP que
cumplen las condiciones de la regla. Si las solicitudes de una dirección IP superan el límite de
frecuencia en un periodo de cinco minutos, la regla puede activar una acción.
Sin embargo, las condiciones son opcionales para las reglas basadas en frecuencia. Si no añade
ninguna condición a una regla basada en frecuencia, el límite de frecuencia se aplica a todas
las direcciones IP. Si combina condiciones con el límite de frecuencia, el límite de frecuencia se
aplica a las direcciones IP que coinciden con las condiciones.
Por ejemplo, de acuerdo con las últimas solicitudes que haya visto de un atacante, puede crear
una regla basada en frecuencia que incluya las siguientes condiciones:
• Las solicitudes provienen de 192.0.2.44.
• Contienen el valor BadBot en el encabezado User-Agent.
En esta regla basada en frecuencia defina también un límite de frecuencia. En este ejemplo,
supongamos que crea un límite de frecuencia de 1 000. Las solicitudes que cumplan las dos
condiciones anteriores y superen las 1 000 solicitudes durante cinco minutos activan la acción de
la regla (bloquear o contar), que está definida en la ACL web.
Las solicitudes que no cumplen ambas condiciones no se tienen en cuenta para el límite de
frecuencia y no se ven afectadas por esta regla.
Otro ejemplo: suponga que desea limitar las solicitudes de una determinada página de su sitio
web. Para ello, podría añadir la siguiente condición de coincidencia de cadena para crear una
regla basada en frecuencia:
• El valor de Part of the request to filter on es URI.
• El valor de Match Type (Tipo de coincidencia) es Starts with.
• El valor de Value to match es login.
Al añadir esta regla basada en frecuencia a una ACL web, podría limitar las solicitudes de la
página de inicio de sesión sin que se vea afectado el resto del sitio.
ACL de web
Después de combinar sus condiciones en reglas, puede combinar las reglas en una ACL de web.
Ahí es donde define una acción para cada regla, permitir—, bloquear o contar—, y una acción
predeterminada:
Una acción para cada regla
Cuando una solicitud web coincida con todas las condiciones de una regla, AWS WAF Classic
puede bloquear la solicitud o permitir que se reenvíe a la API de API Gateway, una distribución de
CloudFront o un Balanceador de carga de aplicaciones. Solo debe especificar la acción que desea
que AWS WAF Classic efectúe para cada regla.
AWS WAF Classic compara una solicitud con las reglas en una ACL de web en el orden en el
que haya enumerado las reglas. A continuación, AWS WAF Classic inicia la acción asociada
a la primera regla que coincide con la solicitud. Por ejemplo, si una solicitud web coincide con
una regla que permite las solicitudes y otra regla que las bloquea, AWS WAF Classic permitirá o
bloqueará la solicitud en función de qué regla aparece en primer lugar.
Si desea probar una nueva regla antes de empezar a utilizarla, también puede configurar AWS
WAF Classic para contar las solicitudes que cumplen todas las condiciones de la regla. Al igual
que ocurre con las reglas que permiten o bloquean solicitudes, una regla que cuenta solicitudes
depende de su posición en la lista de reglas de la ACL de web. Por ejemplo, si una solicitud web
coincide con una regla que permite solicitudes y otra que cuenta solicitudes; y si la regla que
permite las solicitudes está antes, la solicitud no se cuenta.
Una acción predeterminada
La acción predeterminada determina si AWS WAF Classic permite o bloquea una solicitud que
no coincide con todas las condiciones de cualquiera de las reglas de la ACL web. Por ejemplo,
suponga que crea una ACL de web y solo añade la regla que definió antes:
• Las solicitudes provienen de 192.0.2.44.
• Contienen el valor BadBot en el encabezado User-Agent.
• Parece que incluyan código SQL malicioso en la cadena de consulta.
Si una solicitud no cumple las tres condiciones de la regla y la acción predeterminada es ALLOW,
AWS WAF Classic reenvía la solicitud a API Gateway, CloudFront o un Balanceador de carga de
aplicaciones. Además, el servicio responde con el objeto solicitado.
Si añade dos o más reglas a una ACL web, AWS WAF Classic realiza la acción predeterminada
solo si una solicitud no cumple todas las condiciones de cualquiera de las reglas. Por ejemplo,
suponga que agrega una segunda regla que contiene una condición:
• Solicitudes que contienen el valor BIGBadBot en el encabezado User-Agent.
AWS WAF Classic realiza la acción predeterminada solo cuando una solicitud no cumple las tres
condiciones de la primera regla y no cumple la condición de la segunda regla.
En algunas ocasiones, AWS WAF puede encontrar un error interno que retrase la respuesta a API
Gateway, CloudFront o un Balanceador de carga de aplicaciones sobre si desea permitir o bloquear
una solicitud. En esas ocasiones CloudFront permitirá generalmente la solicitud o servirá el contenido.
Una gateway de API y un Balanceador de carga de aplicaciones normalmente denegará la solicitud y
no servirá el contenido.
La imagen siguiente muestra cómo AWS WAF Classic comprueba las reglas y realiza las acciones
marcadas por ellas.
Con AWS WAF Classic, solo paga por las ACL web y las reglas que cree, así como por el número de
solicitudes HTTP que AWS WAF Classic inspeccione. Para obtener más información, consulte Precios de
AWS WAF Classic.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Este tutorial muestra cómo utilizar AWS WAF Classic para realizar las siguientes tareas:
Note
En general, AWS facturará menos de 0,25 USD al día por los recursos que cree durante este
tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para
evitar incurrir en gastos innecesarios.
Temas
• Paso 1: Configurar AWS WAF Classic (p. 89)
• Paso 2: Crear una ACL web (p. 90)
• Paso 3: Crear una condición de coincidencia de IP (p. 90)
• Paso 4: Crear una condición de coincidencia geográfica (p. 91)
• Paso 5: Crear una condición de coincidencia de cadena (p. 91)
• Paso 5A: Crear una condición de expresión regular (opcional) (p. 93)
• Paso 6: Crear una condición de coincidencia de inyección de código SQL (p. 94)
• Paso 7 (opcional): Crear condiciones adicionales (p. 95)
• Paso 8: Crear una regla y añadir condiciones (p. 96)
• Paso 9: Añadir la regla a una ACL web (p. 97)
• Paso 10: Eliminación de recursos (p. 98)
De lo contrario, vaya a Configuración de AWS WAF Classic (p. 81) y siga al menos los dos primeros
pasos. (Por ahora, puede omitir la descarga de herramientas, ya que el tema de introducción se centra en
cómo usar la consola de AWS WAF Classic).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si es la primera vez que utiliza AWS WAF Classic, seleccione Go to AWS WAF Classic (Ir a AWS
WAF Classic) y, a continuación, elija Configure web ACL (Configurar ACL web).
Si ya ha utilizado AWS WAF Classic antes, seleccione Web ACLs (ACL web) en el panel de
navegación y, a continuación, elija Create web ACL (Crear ACL web).
3. En la página Name web ACL (Nombrar ACL web), escriba un nombre para Web ACL name (Nombre
de ACL web).
Note
Para obtener más información acerca de las condiciones de coincidencia de IP, consulte Uso de
condiciones de coincidencia de IP (p. 142).
AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier rango entre /16
y /32. AWS WAF Classic admite los rangos de direcciones IPv6 siguientes: /24, /32, /48, /56, /64
y /128. (Para especificar una dirección IP única, como 192.0.2.44, escriba 192.0.2.44/32). Los demás
rangos no se admiten.
Para obtener más información acerca de la notación CIDR, consulte el artículo de Wikipedia Classless
Inter-Domain Routing.
4. Seleccione Create.
1. En la página Create conditions (Crear condiciones), para String y regex match conditions (Condiciones
de coincidencia de cadenas y expresiones regulares), elija Create condition (Crear condición).
2. En el cuadro de diálogo Create string match condition (Crear condición de coincidencia de cadena),
escriba los valores siguientes:
Nombre
Escriba un nombre. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los
siguientes caracteres especiales: _-!"#`+*},./ .
Tipo
Elija la parte de la solicitud web que desea que AWS WAF Classic inspeccione para buscar una
cadena especificada.
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB) ya que CloudFront solo reenvía los primeros 8192 bytes
para su inspección. Para permitir o bloquear solicitudes cuyo cuerpo tenga más de
8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Encabezado (obligatorio si "Parte de la solicitud para filtrar en" es "Encabezado")
Como eligió Header (Encabezado) para Part of the request to filter on (Parte de la consulta
que se va a filtrar), debe especificar qué encabezado desea que inspeccione AWS WAF
Classic. Introduzca User-Agent (Agente de usuario). (Este valor no distingue entre mayúsculas y
minúsculas).
Tipo de coincidencia
Elija en qué punto del encabezado User-Agent debe aparecer la cadena especificada; por
ejemplo, al principio, al final o en algún punto de la cadena.
Para este ejemplo, elija Exactly matches (Coincide exactamente), lo que indica que AWS WAF
Classic inspeccionará las solicitudes web para buscar en ellas un valor de encabezado cuyo valor
sea idéntico al valor que especifique.
Transformación
En su intento por superar el obstáculo que AWS WAF Classic representa, los atacantes usan
un formato que se sale de lo corriente en sus solicitudes web; por ejemplo, añaden espacios en
blanco o codifican con URL toda la solicitud o parte de ella. Las transformaciones convierten la
solicitud web en un formato más próximo al estándar, ya que eliminan los espacios en blanco,
descodifican con URL la solicitud o realizan otras operaciones que eliminan gran parte del formato
fuera de lo corriente que los atacantes suelen utilizar.
Si el valor que introduce en Value to match (Valor que debe coincidir) ya tiene una codificación
con base64, seleccione esta casilla de verificación.
Especifique el valor que desea que AWS WAF Classic busque en la parte de las solicitudes web
que ha indicado en Part of the request to filter on (Parte de la consulta que se va a filtrar).
En este ejemplo, escriba BadBot. AWS WAF Classic inspeccionará el encabezado User-Agent
en las solicitudes web para buscar el valor BadBot.
• Si desea permitir o bloquear solicitudes web solo cuando estas contengan ambos valores (AND),
debe crear una condición de coincidencia de cadena para cada valor.
• Si desea permitir o bloquear solicitudes web cuando estas contengan uno de los valores o ambos
(OR), añada ambos valores a la misma condición de coincidencia de cadena.
Para obtener más información acerca de las condiciones de coincidencia de regex, consulte Uso
de condiciones de coincidencia de regex (p. 161).
1. En la página Create conditions (Crear condiciones), para String match and regex conditions
(Condiciones de cadena y expresiones regulares), elija Create condition (Crear condición).
2. En el cuadro de diálogo Create string match condition (Crear condición de coincidencia de cadena),
escriba los valores siguientes:
Nombre
Escriba un nombre. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los
siguientes caracteres especiales: _-!"#`+*},./ .
Tipo
Elija la parte de la solicitud web que desea que AWS WAF Classic inspeccione para buscar una
cadena especificada.
Versión de API 2019-07-29
93
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Paso 6: Crear una condición de
coincidencia de inyección de código SQL
En este ejemplo, elija Body.
Note
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB) ya que CloudFront solo reenvía los primeros 8192 bytes
para su inspección. Para permitir o bloquear solicitudes cuyo cuerpo tenga más de
8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Transformación
En su intento por superar el obstáculo que AWS WAF Classic representa, los atacantes usan
un formato que se sale de lo corriente en sus solicitudes web; por ejemplo, añaden espacios en
blanco o codifican con URL toda la solicitud o parte de ella. Las transformaciones convierten la
solicitud web en un formato más próximo al estándar, ya que eliminan los espacios en blanco,
descodifican con URL la solicitud o realizan otras operaciones que eliminan gran parte del formato
fuera de lo corriente que los atacantes suelen utilizar.
Para obtener más información acerca de las condiciones de coincidencia de cadena, consulte Uso
de condiciones de coincidencia de inyección de código SQL (p. 151).
1. En la página Create conditions, para SQL injection match conditions, elija Create condition.
2. En el cuadro de diálogo Create SQL injection match condition (Crear condición de coincidencia de
inyección SQL), escriba los valores siguientes:
Nombre
Escriba un nombre.
Parte de la solicitud para filtrar en
Elija la parte de las solicitudes web que desea que AWS WAF Classic inspeccione para detectar
código SQL malintencionado.
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB) ya que CloudFront solo reenvía los primeros 8192 bytes
para su inspección. Para permitir o bloquear solicitudes cuyo cuerpo tenga más de
8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Transformación
Los atacantes usan un formato fuera de lo corriente, como la codificación URL, en un intento por
superar AWS WAF Classic. La opción URL decode (Descodificar la URL) elimina parte de este
formato en la solicitud web antes de que AWS WAF Classic inspeccione la solicitud.
• Condiciones de restricción de tamaño: – Identifica la parte de las solicitudes web, como un encabezado
o una cadena de consulta, cuya longitud desea que AWS WAF Classic compruebe. Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
• Condiciones de coincidencia de scripting entre sitios: – Identifica la parte de las solicitudes web, como
un encabezado o una cadena de consulta, que desea que AWS WAF inspeccione para detectar scripts
malintencionados. Para obtener más información, consulte Uso de condiciones de coincidencia de
scripting entre sitios (p. 137).
Si lo desea, puede crear estas condiciones ahora o puede pasar a Paso 8: Crear una regla y añadir
condiciones (p. 96).
Para obtener más información acerca de las reglas, consulte Uso de reglas (p. 167).
Nombre
Escriba un nombre.
Nombre de métrica de CloudWatch
Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear y
asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z y 0-9). No
puede contener espacios en blanco.
Tipo de regla
Elija Regular rule (Regla normal) o Rate-based rule (Regla basada en frecuencia). Las reglas
basadas en frecuencia son idénticas a las normales, pero también tienen en cuenta el número de
solicitudes que proceden de la dirección IP identificada en cualquier período de cinco minutos.
Para obtener más información acerca de estos tipos de regla, consulte Cómo funciona AWS WAF
Classic (p. 85). En este ejemplo, seleccione Regular rule.
Límite de frecuencia
Para una regla basada en frecuencia, introduzca el número máximo de solicitudes que desea
permitir en cualquier periodo de cinco minutos desde una dirección IP que coincida con las
condiciones de la regla.
3. Para la primera condición que desea añadir a la regla, especifique la configuración siguiente:
• Elija si desea que AWS WAF Classic permita o bloquee las solicitudes en función de si una solicitud
web coincide o no con la configuración de la condición.
En este ejemplo, elija la condición de coincidencia de IP que ha creado en las tareas anteriores.
4. Elija Add condition.
5. Añada la condición de coincidencia geográfica que creó anteriormente. Especifique los valores
siguientes:
• La acción que desea que AWS WAF Classic ejecute en las solicitudes web que cumplan todas las
condiciones de la regla: permitir, bloquear o contar las solicitudes.
• La acción predeterminada para la ACL web. Esta es la acción que desea que AWS WAF Classic
ejecute en las solicitudes web que no cumplan todas las condiciones de la regla: permitir o bloquear las
solicitudes.
AWS WAF Classic comienza a bloquear todas las solicitudes web de CloudFront que coincidan con todas
las condiciones siguientes (y todas las demás que pueda haber añadido):
AWS WAF Classic permite que CloudFront responda a todas las solicitudes que no cumplan ninguna de
estas tres condiciones.
Para eliminar los objetos por los que AWS WAF Classic cobra:
a. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
b. Elija la ACL web que desea eliminar.
c. En el panel de derecha, en la pestaña Rules, vaya a la sección AWS resources using this web
ACL. Para la distribución de CloudFront con la que ha asociado la ACL web, seleccione la x en la
columna Type (Tipo).
2. Elimine las condiciones de la regla:
AWS WAF Classic no cobra por las condiciones, pero si desea completar la limpieza, ejecute el siguiente
procedimiento para quitar filtros de las condiciones y eliminar las condiciones.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Versión de API 2019-07-29
99
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Tutorial: Configuración rápida de la protección
de AWS WAF Classic frente a ataques comunes
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Esta sección contiene un enlace a una plantilla preconfigurada, así como tres tutoriales que presentan
soluciones completas para tareas comunes que se pueden llevar a cabo en AWS WAF Classic. Los
tutoriales muestran cómo combinar varios servicios de AWS para configurar automáticamente AWS
WAF Classic en respuesta a su tráfico de CloudFront. Su finalidad es proporcionar orientación general.
No deben usarse directamente en su entorno de producción sin antes realizar una cuidadosa revisión y
adaptación a los aspectos únicos del entorno de su negocio.
Puede utilizar nuestra plantilla preconfigurada para comenzar a utilizar AWS WAF Classic rápidamente. La
plantilla incluye un conjunto de reglas de AWS WAF Classic diseñadas para bloquear ataques comunes
desde web. Puede personalizar la plantilla para adaptarla a las necesidades de su negocio.
Las reglas de la plantilla ayudan a proteger frente a bots malignos, inyección de código SQL, scripts entre
sitios (XSS), inundaciones HTTP y otros ataques conocidos. Después de implementar la plantilla, AWS
WAF Classic comienza a bloquear las solicitudes web a la distribución de CloudFront o a la instancia
de Balanceador de carga de aplicaciones que coincida con las reglas preconfiguradas en su lista de
control de acceso web (ACL web). Puede utilizar esta solución automatizada, además de otras ACL
web que configure. Para obtener más información, consulte AWS WAF Classic Security Automations
(Automatizaciones de seguridad de AWS WAF Classic).
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
En este tutorial se explica cómo usar AWS CloudFormation para configurar rápidamente la protección de
AWS WAF Classic frente a los siguientes ataques comunes:
• Ataques de scripting entre sitios–: en ocasiones, los atacantes insertan scripts en solicitudes web para
aprovechar las vulnerabilidades de las aplicaciones web. Las condiciones de coincidencia de scripting
entre sitios identifican las partes de las solicitudes web, como la URI o la cadena de consulta, que desea
que AWS WAF Classic inspeccione en busca de posibles scripts maliciosos.
• Ataques de inyección de código SQL–: en ocasiones, los atacantes insertan código SQL maliciosos en
solicitudes web para extraer datos de las bases de datos. Las condiciones de coincidencia de inyección
de código SQL identifican la parte de las solicitudes web que desea que AWS WAF Classic inspeccione
en busca de posible código SQL malicioso.
• Ataques de direcciones IP malignas conocidas–: puede utilizar condiciones de coincidencia de IP para
permitir, bloquear o contar las solicitudes web en función de las direcciones IP de las que provengan las
solicitudes. Una condición de coincidencia de IP puede enumerar hasta 1 000 direcciones IP o rangos de
direcciones IP.
Este tutorial parte de la base de que ya dispone de una distribución de CloudFront que usa para
entregar contenido para su aplicación web. Si no tiene una distribución de CloudFront, consulte
Creación o actualización de una distribución web mediante una consola CloudFront en la Guía
para desarrolladores de Amazon CloudFront.
Temas
• Descripción de la solución (p. 101)
• Paso 1: Creación de una pila de AWS CloudFormation para configurar la protección de AWS WAF
Classic frente a ataques comunes (p. 103)
• Paso 2: Asociar una ACL web a una distribución de CloudFront (p. 104)
• Paso 3: (Opcional) Añadir direcciones IP a la condición de coincidencia de IP (p. 104)
• Paso 4: (Opcional) Actualizar la ACL web para bloquear cuerpos grandes (p. 105)
• Paso 5: (Opcional) Eliminar su pila de AWS CloudFormation (p. 105)
• Recursos relacionados (p. 106)
Descripción de la solución
AWS CloudFormation utiliza una plantilla para configurar las siguientes condiciones, reglas y una ACL web
de AWS WAF Classic.
Condiciones
AWS CloudFormation crea las siguientes condiciones.
Condición de coincidencia de IP
Esta condición filtra las solicitudes que proceden de direcciones IP malignas conocidas. De este modo
puede agregar fácilmente las IP a una lista para bloquear el acceso a su sitio web. Se recomienda
realizar esta acción si recibe muchas solicitudes malignas de una o varias direcciones IP. Si quiere
permitir, bloquear o contar solicitudes en función de las direcciones IP de donde proceden las
solicitudes, consulte Paso 3: (Opcional) Añadir direcciones IP a la condición de coincidencia de
IP (p. 104) más adelante en este tutorial.
Esta condición filtra las solicitudes cuyo cuerpo tiene más de 8192 bytes. AWS WAF Classic evalúa
solo los primeros 8192 bytes de la parte de la solicitud que especifique en un filtro. Si los cuerpos de
la solicitud nunca superan los 8 192 bytes, puede utilizar una condición de restricción de tamaño para
detectar solicitudes maliciosas que de otro modo podrían colarse.
En este tutorial, AWS CloudFormation configura AWS WAF Classic únicamente para contar, no
bloquear, las solicitudes con un cuerpo superior a 8192 bytes. Si el cuerpo en sus solicitudes nunca
supera dicha longitud, puede cambiar la configuración para bloquear las solicitudes que tengan
cuerpos más largos. Para obtener más información sobre cómo consultar el recuento de solicitudes
que supera 8 192 bytes y cómo cambiar la ACL web para bloquear las solicitudes que contienen
cuerpos de más de 8 192 bytes, consulte Paso 4: (Opcional) Actualizar la ACL web para bloquear
cuerpos grandes (p. 105).
Esta condición filtra las solicitudes que contienen posible código SQL malicioso. La condición incluye
filtros que evalúan las siguientes partes de las solicitudes:
• Cadena de consulta (transformación de descodificación de URL)
• URI (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación en HTML)
Esta condición filtra las solicitudes que contienen posibles scripts maliciosos. La condición incluye
filtros que evalúan las siguientes partes de las solicitudes:
• Cadena de consulta (transformación de descodificación de URL)
• URI (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación en HTML)
Reglas
Al crear la pila de AWS CloudFormation, AWS CloudFormation crea las siguientes reglas y añade la
condición correspondiente a cada regla:
prefijoManualIPBlockRule
ACL web
AWS CloudFormation crea una ACL web con el nombre especificado al crear la pila de AWS
CloudFormation. La ACL web contiene las siguientes reglas con la configuración especificada:
prefijoManualIPBlockRule
De forma predeterminada, la condición de esta regla no contiene ninguna dirección IP. Si quiere
permitir, bloquear o contar solicitudes en función de las direcciones IP de donde proceden las
solicitudes, consulte Paso 3: (Opcional) Añadir direcciones IP a la condición de coincidencia de
IP (p. 104) más adelante en este tutorial.
prefijoSizeMatchRule
De forma predeterminada, AWS WAF Classic cuenta las solicitudes cuyo cuerpo supera los
8192 bytes.
AWS WAF Classic bloquea las solicitudes en función de la configuración de esta regla.
prefijoXssRule
AWS WAF Classic bloquea las solicitudes en función de la configuración de esta regla.
Requisitos
Este tutorial parte de la base de que ya dispone de una distribución de CloudFront que usa para entregar
contenido para su aplicación web. Si no tiene una distribución de CloudFront, consulte Creación o
actualización de una distribución web mediante una consola CloudFront en la Guía para desarrolladores
de Amazon CloudFront. Este tutorial también utiliza AWS CloudFormation para simplificar el proceso de
aprovisionamiento. Para obtener más información, consulte la Guía del usuario de AWS CloudFormation.
Tiempo estimado
El tiempo estimado para completar este tutorial es de 15 minutos si ya dispone de una distribución de
CloudFront, o de 30 minutos si necesita crear una distribución de CloudFront.
Costos
Hay un costo asociado a los recursos que se crean durante el tutorial. Puede eliminar los recursos después
de finalizar el tutorial para dejar de incurrir en gastos. Para obtener más información, consulte Precios de
AWS WAF Classic y Precios de Amazon CloudFront.
Empezará a incurrir en gastos por los diferentes servicios al crear la pila de AWS CloudFormation
que implementa esta solución. Los gastos continuarán acumulándose hasta que elimine la pila de
AWS CloudFormation. Para obtener más información, consulte Paso 5: (Opcional) Eliminar su pila
de AWS CloudFormation (p. 105).
Para crear una pila de AWS CloudFormation para bloquear direcciones IP que envíen solicitudes
malignas
1. Para comenzar el proceso que crea una pila de AWS CloudFormation, elija el enlace para la región en
la que desea crear los recursos de AWS:
Nombre de la pila
Especifique un nombre para la ACL web que creará AWS CloudFormation. El nombre que
especifique también se utiliza como prefijo para las condiciones y reglas que creará AWS
CloudFormation, por lo que es fácil encontrar todos los objetos relacionados.
6. Seleccione Siguiente.
7. (Opcional) En la página Configure stack options (Configurar las opciones de la pila), escriba etiquetas
y configuración avanzada, o deje las casillas vacías.
8. Seleccione Siguiente.
9. En la página Review (Revisar), revise la configuración y seleccione Create stack (Crear pila).
Después de elegir Create stack (Crear pila), AWS CloudFormation crea los recursos de AWS WAF
Classic identificados en Descripción de la solución (p. 101).
You can associate a web ACL with as many distributions as you want, but you can associate only
one web ACL with a given distribution.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Choose Go to AWS WAF Classic.
3. In the navigation pane, choose Web ACLs.
4. Choose the web ACL that you want to associate with a CloudFront distribution.
5. On the Rules tab, under AWS resources using this web ACL, choose Add association.
6. When prompted, use the Resource list to choose the distribution that you want to associate this web
ACL with.
7. Choose Add.
8. To associate this web ACL with additional CloudFront distributions, repeat steps 4 through 6.
AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier
rango entre /16 y /32. AWS WAF Classic admite los rangos de direcciones IPv6
siguientes: /24, /32, /48, /56, /64 y /128. Para obtener más información acerca de la notación
CIDR, consulte la entrada de la Wikipedia Classless Inter-Domain Routing.
Note
AWS WAF Classic admite tanto las direcciones IP IPv4 como IPv6.
c. Para añadir más direcciones IP, elija Add another IP address y, a continuación, escriba el valor.
d. Elija Add.
Si desea bloquear las solicitudes que superen los 8 192 bytes, siga el siguiente procedimiento.
Recursos relacionados
Para consultar ejemplos de AWS WAF Classic, como, por ejemplo, las funciones de Lambda, las plantillas
de AWS CloudFormation o ejemplos de uso de SDK, vaya a GitHub en https://github.com/awslabs/aws-
waf-sample.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Con AWS Lambda, puede definir un umbral del número de solicitudes malignas por minuto que su
aplicación web tolerará desde una determinada dirección IP. Una solicitud maligna es aquella para la que
su origen de CloudFront devuelve uno de los siguientes códigos de estado HTTP 40x:
Si los usuarios (de acuerdo con las direcciones IP) superan este umbral de código de error, Lambda
actualiza automáticamente las reglas de AWS WAF Classic para bloquear direcciones IP y especificar
durante cuánto tiempo deben bloquearse las solicitudes procedentes de dichas direcciones IP.
En este tutorial se muestra cómo utilizar una plantilla de AWS CloudFormation para especificar el umbral
máximo de solicitudes y el tiempo de bloqueo de estas. El tutorial también utiliza los CloudFront registros
de acceso de (almacenados en Amazon S3) para contar las solicitudes a medida que CloudFront las
atiende y según las métricas de Amazon CloudWatch.
Temas
• Descripción de la solución (p. 107)
• Paso 1: crear una pila AWS CloudFormation para bloquear direcciones IP que envíen solicitudes
malignas (p. 108)
• Paso 2: Asociar una ACL web a una distribución de CloudFront (p. 109)
• Paso 3: (opcional) Editar los valores de los parámetros de AWS CloudFormation (p. 111)
Descripción de la solución
En la siguiente ilustración se muestra cómo utilizar AWS WAF Classic con AWS Lambda para bloquear las
solicitudes de determinadas direcciones IP.
1. A medida que CloudFront recibe solicitudes en nombre de su aplicación web, envía los registros de
acceso a un bucket de Amazon S3 que contiene información detallada acerca de las solicitudes.
2. Por cada nuevo registro de acceso del bucket Amazon S3, se desencadena una función de Lambda. La
función Lambda analiza los archivos de registro y busca las solicitudes que provocaron códigos de error
400, 403, 404 y 405. La función cuenta la cantidad de solicitudes malignas y almacena temporalmente
los resultados en current_outstanding_requesters.json el bucket Amazon S3 que utiliza para
acceder a los registros.
3. La función Lambda actualiza reglas de AWS WAF Classic para bloquear las direcciones IP incluidas en
current_outstanding_requesters.json durante el período de tiempo que se especifique. Una
vez que haya vencido el período de bloqueo, AWS WAF Classic permitirá a las direcciones IP volver a
tener acceso a su aplicación, aunque seguirá monitorizando sus solicitudes.
4. La función Lambda publica las métricas de ejecución en CloudWatch, como, por ejemplo, el número de
solicitudes analizadas o las direcciones IP bloqueadas.
La plantilla de AWS CloudFormation crea una lista de control de acceso web (ACL web) y dos reglas
separadas en AWS WAF Classic que bloquean y monitorizan las solicitudes de direcciones IP en función
de los ajustes que se configuran durante el tutorial. Las dos reglas se definen aquí:
• Auto Block–: esta regla añade direcciones IP que superan el límite de peticiones por minuto. Las nuevas
solicitudes de dichas direcciones IP se bloquearán hasta que Lambda elimine las direcciones IP de la
lista de bloqueo una vez que haya transcurrido el período de bloqueo. El valor predeterminado es 4
horas.
Requisitos: este tutorial parte de la base de que ya dispone de una distribución de CloudFront que usa
para entregar contenido para su aplicación web. Si no tiene una distribución de CloudFront, consulte
Creación o actualización de una distribución web mediante una consola CloudFront en la Guía para
desarrolladores de Amazon CloudFront. Este tutorial también utiliza AWS CloudFormation para simplificar
el proceso de aprovisionamiento. Para obtener más información, consulte Guía del usuario de AWS
CloudFormation.
Plazo: 15 minutos si ya dispone de una distribución de CloudFront o 30 minutos si necesita crear una
distribución de CloudFront.
Costo estimado:
Empezará a incurrir en gastos por los diferentes servicios al crear la pila de AWS CloudFormation
que implementa esta solución. Los gastos continuarán acumulándose hasta que elimine la pila de
AWS CloudFormation. Para obtener más información, consulte Paso 5: (Opcional) Eliminar su pila
de AWS CloudFormation (p. 112).
Para crear una pila de AWS CloudFormation para bloquear direcciones IP que envíen solicitudes
malignas
1. Para comenzar el proceso que crea una pila de AWS CloudFormation, elija el enlace para la región en
la que desea crear los recursos de AWS:
Nombre de la pila
Seleccione yes (sí) para crear un nuevo bucket Amazon S3 para registros de acceso CloudFront,
o no si ya tiene un bucket Amazon S3 para registros de acceso CloudFront.
Nombre del bucket de registro de acceso de CloudFront
Escriba el nombre del bucket de Amazon S3 donde desee que CloudFront ponga los registros de
acceso. Deje esta casilla vacía si ha seleccionado no para Create CloudFront Access Log Bucket
(Crear bucket de registros de acceso a CloudFront).
Umbral de solicitudes
Especifique el número máximo de solicitudes por minuto que se pueden realizar desde una
dirección IP sin que se bloquee dicha dirección. El valor predeterminado es 400.
Periodo de bloqueo de WAF
Especifique durante cuánto tiempo (en minutos) debe bloquearse una dirección IP si esta supera
el umbral permitido. El valor predeterminado es 240 minutos (cuatro horas).
5. Elija Next (Siguiente).
6. (Opcional) En la página Options, escriba etiquetas y configuración avanzada, o deje las casillas
vacías.
7. Elija Next (Siguiente).
8. En la página Review, marque la casilla I acknowledge y, a continuación, elija Create.
Después de elegir Create (Crear), AWS CloudFormation crea los recursos de AWS necesarios para
ejecutar la solución:
• Función Lambda
• ACL web de AWS WAF Classic (denominadas Malicious Requesters (Solicitantes maliciosos)) con
las reglas necesarias configuradas
• Métricas personalizadas de CloudWatch
• Bucket de Amazon S3 con el nombre que ha especificado en el campo CloudFront Access Log
Bucket Name (Nombre de bucket de registro de acceso a CloudFront) en el paso 6, si seleccionó
yes (sí) para Create CloudFront Access Log Bucket (Crear bucket de registro de acceso a
CloudFront)
Si ya está usando AWS WAF Classic para monitorizar las solicitudes de CloudFront y si ya
está habilitado el registro para la distribución que está monitorizando, puede omitir el primer
procedimiento.
Note
You can associate a web ACL with as many distributions as you want, but you can associate only
one web ACL with a given distribution.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Choose Go to AWS WAF Classic.
3. In the navigation pane, choose Web ACLs.
4. Choose the web ACL that you want to associate with a CloudFront distribution.
5. On the Rules tab, under AWS resources using this web ACL, choose Add association.
6. When prompted, use the Resource list to choose the distribution that you want to associate this web
ACL with.
7. Choose Add.
8. To associate this web ACL with additional CloudFront distributions, repeat steps 4 through 6.
If you already have an Amazon S3 bucket for CloudFront access logs (if you selected no for Create
CloudFront Access Log Bucket in the preceding procedure), enable Amazon S3 event notification to trigger
the Lambda function when a new log file is added to the bucket. For more information, see Enabling Event
Notifications in the Guía del usuario de la consola de Amazon Simple Storage Service.
Note
If you chose to have AWS CloudFormation create the bucket for you, AWS CloudFormation also
enabled event notifications for the bucket.
Name
Type a name for the event, such as LambdaNotificationsForWAFBadRequests. The name cannot
contain spaces.
Events
Type gz.
Choose BadBehavingIP or the name that you specified for your AWS CloudFormation stack.
5. Choose Save.
Umbral de solicitudes
Escriba el nuevo número máximo de solicitudes por minuto que pueden hacerse sin que se
bloquee la dirección IP.
Periodo de bloqueo de WAF
Especifique el nuevo valor de cuánto tiempo (en minutos) desea que AWS WAF Classic bloquee
la dirección IP después de que el número de solicitudes desde esa dirección IP supere el valor de
Request Threshold (Umbral de solicitudes).
6. En la página Options, seleccione Next.
7. En la página Review, marque la casilla I acknowledge y, a continuación, elija Update.
AWS CloudFormation actualiza la pila para reflejar los nuevos valores de los parámetros.
Una vez que haya acabado la carga, ejecute el procedimiento siguiente para confirmar que las direcciones
IP se rellenaron automáticamente en la regla Auto Block de AWS WAF Classic. Lambda tarda unos
segundos en procesar el archivo de log y en actualizar la regla.
Recursos relacionados
Para consultar ejemplos de AWS WAF Classic, como, por ejemplo, las funciones de Lambda, las plantillas
de AWS CloudFormation o ejemplos de uso de SDK, vaya a GitHub en https://github.com/awslabs/aws-
waf-sample.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
En este tutorial, se proporcionan instrucciones paso a paso para configurar un sitio web resistente a
ataques de denegación de servicio distribuido (DDoS). Un ataque DDoS puede desbordar el sitio web con
Temas
• Información general (p. 113)
• Arquitectura (p. 114)
• Requisitos previos (p. 114)
• Paso 1: lanzamiento de un servidor virtual mediante Amazon EC2 (p. 119)
• Paso 2: escalado del tráfico con Elastic Load Balancing (p. 122)
• Paso 3: mejora del desempeño y absorción de ataques mediante Amazon CloudFront (p. 125)
• Paso 4: registre su nombre de dominio e implemente el servicio DNS mediante Route 53 (p. 127)
• Paso 5: Detección y filtrado de solicitudes web malintencionadas mediante AWS WAF
Classic (p. 129)
• Prácticas recomendadas adicionales (p. 133)
Información general
En este tutorial se muestra cómo utilizar conjuntamente varios servicios de AWS para crear un sitio web
resistente y muy seguro. Por ejemplo, aprenderá cómo hacer lo siguiente:
• Utilizar balanceadores de carga y servidores de borde, que distribuyen el tráfico entre varias instancias
de distintas regiones y zonas y ayudan a proteger las instancias frente a ataques basados en SSL
• Mitigar los ataques DDoS a la infraestructura (capas 3 y 4) con técnicas como el aprovisionamiento
excesivo de su capacidad
• Utilizar un firewall de aplicación web para monitorizar las solicitudes HTTP y HTTPS y controlar el
acceso a su contenido
El tutorial muestra cómo integrar servicios de AWS como Amazon EC2, Elastic Load Balancing,
CloudFront, Route 53 y AWS WAF Classic. Aunque el tutorial está diseñado como una solución integral, no
es necesario que complete todos los pasos si ya utiliza algunos de esos servicios de AWS. Por ejemplo, si
ya ha registrado su dominio de sitio web con Route 53 y utiliza Route 53 como servicio DNS, puede omitir
esos pasos.
El tutorial tiene por objetivo ayudarle a lanzar cada servicio de AWS con rapidez. Por esa razón, no abarca
todas las opciones posibles. Para obtener información detallada acerca de cada servicio, consulte la
documentación de AWS. En muchos de los pasos, este tutorial proporciona los valores específicos que
debe introducir. Por lo general, debe utilizar dichos valores. Sin embargo, en algunos casos, como el
nombre de dominio de su sitio web, utilice los valores adecuados para sus necesidades.
Important
Usted es responsable de los costos de los servicios de AWS implementados en este tutorial. Para
obtener información completa, consulte la información de precios de cada servicio de AWS que
utiliza en esta solución. Puede encontrar enlaces a cada servicio en la página Productos de la
nube.
Requisitos previos
Note
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Las siguientes tareas no están relacionadas específicamente con la protección frente a ataques DDoS,
pero son necesarias para completar el tutorial.
Temas
• Inscripción en AWS (p. 115)
• Creación de un usuario de IAM (p. 115)
• Creación de un par de claves (p. 116)
• Creación de una Virtual Private Cloud (VPC) con dos subredes (p. 117)
• Creación de un grupo de seguridad (p. 118)
Si ya dispone de una cuenta de AWS, pase a la siguiente tarea. Si no dispone de una cuenta de AWS,
utilice el siguiente procedimiento para crear una.
1. Abra https://portal.aws.amazon.com/billing/signup.
2. Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de
verificación en el teclado del teléfono.
Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo mediante el
siguiente procedimiento.
Para iniciar sesión como este nuevo usuario de IAM, cierre la sesión de la consola de AWS y después
utilice la siguiente dirección URL, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin
los guiones (por ejemplo, si su número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS
será 123456789012):
https://your_aws_account_id.signin.aws.amazon.com/console/
Especifique el nombre de usuario de IAM (no su dirección de correo electrónico) y la contraseña que acaba
de crear. Cuando haya iniciado sesión, en la barra de navegación se mostrará "su_nombre_de_usuario @
su_id_de_cuenta_de_aws".
Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de y
compruebe el el enlace de inicio de sesión de los usuarios de IAM en el panel.
Para obtener más información sobre IAM, consulte Guía del usuario de IAM.
Más adelante en este tutorial, usaremos AWS Lambda y Amazon API Gateway, que
actualmente solo están disponibles en algunas regiones de AWS. Por tanto, asegúrese de
seleccionar una región de AWS en la que tanto Lambda como Amazon API Gateway estén
disponibles. EE.UU. Oeste (Oregón), cuyo uso se ha sugerido anteriormente, admite todos
los servicios que se utilizan en este tutorial. Para obtener la información más actualizada
sobre la disponibilidad de los servicios, consulte Tabla de regiones.
4. En el panel de navegación, en NETWORK & SECURITY, seleccione Key Pairs.
Tip
Esta es la única oportunidad para guardar el archivo de clave privada. Debe proporcionar el
nombre de su par de claves al lanzar una instancia y la clave privada correspondiente cada
vez que se conecte a dicha instancia.
Para obtener más información sobre las Amazon VPC, consulte ¿Qué es Amazon VPC? en la Guía del
usuario de Amazon VPC.
Para aumentar la disponibilidad, más adelante en este tutorial configurará un balanceador de carga para
utilizar diferentes subredes en dos zonas de disponibilidad diferentes. Cuando creó su Amazon VPC en
el paso anterior, creó la primera subred en una zona de disponibilidad. Ahora debe añadir una segunda
subred en otra zona de disponibilidad. Ambas zonas de disponibilidad deben estar en la misma región de
AWS.
• En Name tag, indique un nombre para la subred. Por ejemplo, escriba subnet-2. Esta acción
creará una etiqueta con una clave de Name y el valor que especifique.
• En VPC, elija la VPC que acaba de crear en los pasos anteriores.
Requisitos previos
Necesita la dirección IPv4 pública de su equipo local. El editor de grupos de seguridad en la consola de
Amazon EC2 puede detectar la dirección IPv4 pública automáticamente. También puede utilizar la frase
de búsqueda "what is my IP address" (cuál es mi dirección IP) en un navegador de Internet. Si se conecta
a través de un proveedor de Internet (ISP) o protegido por un firewall sin una dirección IP estática, debe
identificar el rango de direcciones IP utilizadas por los equipos cliente.
• Seleccione HTTP en la lista Type y asegúrese de que Source está ajustado en Anywhere
(0.0.0.0/0).
• Seleccione HTTPS en la lista Type y asegúrese de que Source está ajustado en Anywhere
(0.0.0.0/0).
Por motivos de seguridad, recomendamos que no permita el acceso RDP desde todas las
direcciones IPv4 (0.0.0.0/0) a la instancia, excepto con fines de prueba y solamente
durante un breve periodo.
8. Después de añadir todas las reglas, elija Create.
Siguiente: Paso 1: lanzamiento de un servidor virtual mediante Amazon EC2 (p. 119).
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Puede mitigar los ataques DDoS a la infraestructura (capas 3 y 4) mediante técnicas como el
aprovisionamiento excesivo de su capacidad. Es decir, puede escalar el sitio web para absorber
volúmenes de tráfico mayores sin realizar grandes inversiones de capital ni tener que hacer frente a
complejidades innecesarias. Puede utilizar Amazon EC2 para lanzar servidores virtuales (conocidos como
instancias) y aumentar o reducir rápidamente su infraestructura a medida que cambien sus necesidades.
Para escalar horizontalmente, puede añadir instancias al sitio web según sea necesario. También puede
optar por escalar en sentido vertical mediante el uso de instancias más grandes. En este paso del tutorial,
se crea una instancia c4.8xlarge de Windows Amazon EC2, que incluye una interfaz de red de 10 GB y
redes mejoradas, en la Región EE.UU. Oeste (Oregón).
Important
Usted es responsable de los costos de los servicios de AWS implementados en este tutorial. Para
obtener información detallada sobre los costos de EC2, consulte la página de precios de Amazon
EC2.
Temas
• Crear una instancia de Amazon EC2 (p. 119)
• Conéctese a la instancia (p. 120)
• Instalación de un servidor web y alojamiento de su sitio (p. 122)
• Lanzamiento de una segunda instancia EC2 (p. 122)
• Prueba del sitio web (p. 122)
No seleccione la opción Proceed without a key pair. Si lanza la instancia sin un par de claves,
no podrá conectarse a ella.
Conéctese a la instancia
Utilizará Escritorio remoto de Microsoft para conectarse a sus instancias. Si se conecta desde un equipo
con Microsoft Windows, Escritorio remoto ya está instalado. Si utiliza otro sistema operativo, es posible que
necesite instalar Escritorio remoto antes de realizar el siguiente procedimiento.
Versión de API 2019-07-29
120
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Tutorial: Implementación de un sitio web resistente
a ataques DDoS mediante servicios de AWS
Para conectarse a la instancia de Windows mediante un cliente RDP
A veces, al copiar y pegar el contenido se dañan los datos. Si aparece el error "Password
Failed" al iniciar sesión, pruebe a especificar la contraseña manualmente.
9. Debido a la naturaleza de los certificados autofirmados, es posible que aparezca una advertencia
que indica que no se pudo autenticar el certificado de seguridad. Realice los pasos siguientes para
verificar la identidad del equipo remoto o simplemente elija Yes o Continue para continuar si confía en
el certificado.
a. Si usa Conexión a Escritorio remoto desde un equipo Windows, elija View certificate. Si usa
Microsoft Remote Desktop en un Mac, elija Show certificate.
b. Elija la pestaña Details y desplácese hacia abajo hasta la entrada Thumbest-practicesrint si está
en un equipo con Windows o hasta la entrada SHA1 Fingerprints si su equipo es un Mac. Este el
identificador único del certificado de seguridad del equipo remoto.
c. En la consola de Amazon EC2, seleccione la instancia, elija Actions (Acciones) y después elija
Get System Log (Obtener registro del sistema).
d. En el resultado del log del sistema, busque una entrada llamada RDPCERTIFICATE-THUMbest-
practicesRINT. Si este valor coincide con thumbest-practicesrint o la huella del certificado, ha
verificado la identidad del equipo remoto.
e. Si usa Conexión a Escritorio remoto desde un equipo Windows, vuelva al cuadro de diálogo
Certificate y elija OK. Si usa Microsoft Remote Desktop en un Mac, vuelva al cuadro de diálogo
Verify Certificate y elija Continue.
f. [Windows] Elija Yes en la ventana Remote Desktop Connection para conectarse a la instancia.
[Mac OS] Cuando se le pida, inicie sesión con la cuenta y la contraseña de administrador
predeterminadas que anotó o copió anteriormente. Es posible que tenga que cambiar de espacio
para ver la pantalla de inicio de sesión. Para obtener más información acerca de los espacios,
consulte el sitio web de Apple.
g. Si recibe un mensaje de error al intentar conectarse a la instancia, consulte El escritorio remoto no
puede conectarse al equipo remoto.
Versión de API 2019-07-29
121
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Tutorial: Implementación de un sitio web resistente
a ataques DDoS mediante servicios de AWS
Instalación de un servidor web y alojamiento de su sitio
El siguiente paso consiste en instalar un servicio de alojamiento web en su instancia Amazon EC2 y crear
su sitio web. Tiene varias opciones para un servidor web, como Microsoft Internet Information Server (IIS),
que ya forma parte de la instancia, y Apache HTTP Server para Windows, entre otras.
La instalación de un servidor web y la configuración de su sitio web quedan fuera del ámbito de este
tutorial. Consulte la documentación del producto adecuado para implementar un servidor web en su
instancia. Sin embargo, y a modo de ejemplo, los pasos generales para instalar IIS son los siguientes:
Siga los mismos pasos descritos para lanzar una instancia. Asegúrese de editar los detalles de la segunda
instancia y el grupo de seguridad como se indica en los pasos anteriores. Al editar los detalles de la
instancia, tenga en cuenta lo siguiente:
• Elija la misma VPC que su primera instancia, la VPC que creó en los requisitos previos.
• En Subnet, elija subnet-2. Esta es la segunda subred que creó en el paso de requisitos previos. No es la
misma subred que utilizó para la primera instancia.
• En Auto-assign Public IP, elija Enable.
Después de lanzar la segunda instancia Amazon EC2, instale el mismo servicio de alojamiento web y los
mismos archivos que en la primera instancia EC2.
Siguiente: Paso 2: escalado del tráfico con Elastic Load Balancing (p. 122).
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Temas
• Antes de comenzar (p. 123)
• Creación del balanceador de carga (p. 123)
• Pruebe el balanceador de carga (p. 124)
Antes de comenzar
Asegúrese de que las instancias Amazon EC2 que lanzó anteriormente en este tutorial se encuentran en el
estado Active (Activo).
• Name: MyWebServers
• Protocol: HTTP
• Port: 80
• Target type: Instance
• VPC: la VPC que contiene sus instancias EC2
• No cambie ningún otro valor.
6. Seleccione el nuevo grupo de destino.
7. En la pestaña Targets, seleccione Edit.
8. En Instances, seleccione las dos instancias que creó anteriormente en este tutorial. Elija Add to
registered y, a continuación, elija Save.
El estado de las instancias es initial hasta que se hayan registrado y superado las
comprobaciones de estado. A continuación, su estado será unused hasta que haya configurado el
grupo de destino que recibirá el tráfico del balanceador de carga.
9. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.
10. Elija Create Load Balancer.
11. En Select load balancer type, elija Application Load Balancer.
12. Seleccione Create.
Important
Si realiza cambios en el sitio web, deberá realizar esos mismos cambios en ambas instancias
EC2. El balanceador de carga puede ofrecer contenido desde cualquier instancia, por lo que es
importante que ambas instancias sean idénticas.
Siguiente: Paso 3: mejora del desempeño y absorción de ataques mediante Amazon CloudFront (p. 125).
El hecho de tener diversas conexiones a Internet muy escalables puede mejorar significativamente el
tiempo de respuesta de su sitio web, absorber mejor los ataques DDoS y aislar los errores. Los servidores
perimetrales de Amazon CloudFront junto con Route 53 proporcionan la capa adicional de infraestructura
de red que necesita para conseguir estos beneficios. El contenido se ofrece y las consultas de DNS se
resuelven desde ubicaciones que normalmente están más cerca de sus usuarios que sus servidores de
origen de EC2. Esto reduce la carga de sus servidores de EC2 de origen.
Important
Usted es responsable de los costos de los servicios de AWS implementados en este tutorial. Para
obtener información detallada sobre los costos de CloudFront, consulte la página de precios de
CloudFront.
Temas
• Entrega del contenido mediante Amazon CloudFront (p. 125)
CloudFront solo acepta conexiones bien formadas para evitar que muchos ataques DDoS comunes, como
ataques de inundaciones SYN y ataques de reflexión del UDP, lleguen a su origen. CloudFront puede
cerrar automáticamente las conexiones que son inusualmente lentas, lo que puede indicar un posible
ataque DDoS.
Además, los ataques DDoS se aíslan geográficamente cerca del origen, lo que impide que el tráfico afecte
a otras ubicaciones. También puede utilizar la característica de restricción geográfica de CloudFront para
impedir que los usuarios de determinadas ubicaciones geográficas obtengan acceso a su contenido. Esto
puede resultar útil en caso de que desee bloquear los ataques procedentes de ubicaciones geográficas en
las que no espera atender a usuarios.
Todas estas capacidades pueden mejorar significativamente su capacidad de seguir sirviendo tráfico a los
usuarios durante ataques DDoS a gran escala.
• Reenviará todas las solicitudes que utilizan la URL de CloudFront para su distribución (por ejemplo,
http://d111111abcdef8.cloudfront.net/image.jpg) al balanceador de carga que
especificó anteriormente
• Permitirá a los usuarios utilizar HTTP o HTTPS para obtener acceso a sus objetos
• Responderá a las solicitudes de sus objetos
• Almacenará los objetos de caché en las ubicaciones de borde de CloudFront durante 24 horas
• Reenviará solo los encabezados de solicitudes predeterminadas a su origen y no almacenará en la
caché los objetos en función de los valores de los encabezados
• Permite a cualquier persona ver su contenido
• No comprime automáticamente el contenido
Price Class
Seleccione la clase de precio que corresponda al precio máximo que desea pagar por el servicio
de CloudFront. De forma predeterminada, CloudFront ofrece sus objetos desde ubicaciones de
borde en todas las regiones de CloudFront.
Para obtener más información acerca de las clases de precios y cómo la clase que elija afecta
el desempeño de CloudFront para su distribución, consulte Elegir la clase de precio de una
distribución de CloudFront. Para obtener información acerca de los precios de CloudFront,
incluida cómo las clases de precios se corresponden con las regiones de CloudFront, consulte
Precios de Amazon CloudFront.
ACL web de AWS WAF Classic
Elija None. Configurará AWS WAF Classic más adelante en este tutorial.
Nombres de dominio alternativos (CNAME) (opcional)
Especifique un nombre de dominio que desea utilizar para las URL de su sitio web. Por ejemplo,
podría introducir example.com.
Objeto raíz predeterminado (opcional)
El objeto que quiera que CloudFront solicite desde su origen (por ejemplo, index.html) cuando
un espectador solicite la URL raíz de la distribución (http://example.com/) en lugar de un
objeto de la distribución (http://example.com/product-description.html). Especificar
un objeto raíz predeterminado evita exponer el contenido de su distribución.
Comment (opcional)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Puede utilizar Route 53 para registrar el nombre de dominio de su sitio web, dirigir el tráfico de Internet
a los recursos de su dominio y comprobar el estado del servidor web para verificar que está accesible,
disponible y operativo. Route 53 ayuda a protegerse frente a ataques DDoS al proporcionar redundancia
y balanceo de carga entre varios servidores DNS. Route 53 también puede detectar anomalías en las
consultas de DNS y dar mayor prioridad a las solicitudes de los usuarios que se sabe que son de confianza
y, por extensión, dar menos prioridad a las solicitudes procedentes de fuentes que potencialmente sean
menos confiables.
Important
Usted es responsable de los costos de los servicios de AWS implementados en este tutorial. Para
obtener información detallada sobre los costos de Route 53, consulte la página de precios de
Route 53.
Temas
• Registro del dominio con Route 53 (p. 127)
• Creación de registros (p. 129)
Si el dominio ya está registrado en otro registrador, debe migrar el dominio existente del servicio
DNS del otro registrador para utilizar en su lugar Route 53 como servicio DNS. En este tutorial no
se explica ese proceso de transferencia. En lugar de seguir los procedimientos de Route 53 que
se describen en este tutorial, debe realizar cuatro pasos para transferir un dominio existente:
Para obtener información sobre cómo especificar caracteres distintos de a-z, 0-9 y - (guion), y cómo
especificar nombres de dominio internacionalizados, consulte DNS Domain Name Format.
5. Si el dominio está disponible, elija Add to cart. El nombre de dominio aparecerá en su carro de la
compra.
6. En el carro de la compra, seleccione el número de años para los que desea registrar el dominio.
7. Para registrar más dominios, repita los pasos 4 a 6.
8. Elija Continue.
9. En la página Contact Details for Your n Domains, escriba la información de contacto del registrante del
dominio y de los contactos administrativo y técnico. Los valores que especifique aquí se aplicarán a
todos los dominios que registre.
10. En el caso de algunos dominios de nivel superior (TLD), estamos obligados a recopilar información
adicional. Para estos TLD, especifique los valores correspondientes detrás del campo Postal/Zip
Code.
11. Elija si desea ocultar su información de contacto de las consultas WHOIS. Para obtener más
información, consulte los siguientes temas:
Para los TLD genéricos, solemos enviar un correo electrónico al registrante del dominio para
comprobar que se puede contactar con el registrante en la dirección de correo electrónico que usted
ha especificado. (No enviamos un correo electrónico si ya tenemos confirmación de que la dirección
de correo electrónico es válida). El correo electrónico proviene de una de las siguientes direcciones de
correo electrónico:
Important
El contacto del registrante debe seguir las instrucciones del correo electrónico para verificar
que se ha recibido el correo electrónico, ya que, en caso contrario, suspenderemos el
Versión de API 2019-07-29
128
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Tutorial: Implementación de un sitio web resistente
a ataques DDoS mediante servicios de AWS
dominio, tal y como exige ICANN. Cuando se suspende un dominio, esté no está accesible en
Internet.
Para todos los TLD, recibirá un correo electrónico cuando se haya aprobado el registro del dominio.
Para determinar el estado actual de su solicitud, consulte Ver el estado de registro de un dominio.
Creación de registros
El siguiente paso consiste en crear registros que indiquen a Route 53 cómo desea dirigir el tráfico para el
dominio y el subdominio.
Note
Su nuevo registro tarda un tiempo en propagarse a los servidores DNS de Route 53. Por lo
general, los cambios se propagan a todos los servidores de nombres Route 53 en un plazo de
60 segundos.
Siguiente: Paso 5: Detección y filtrado de solicitudes web malintencionadas mediante AWS WAF
Classic (p. 129).
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic es un servicio de firewall de aplicaciones web que le permite monitorizar las solicitudes
HTTP y HTTPS que se reenvíen a Amazon CloudFront o al Balanceador de carga de aplicaciones. AWS
WAF Classic también permite controlar el acceso a su contenido. En función de las condiciones que
especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas
de consulta, CloudFront responde a las solicitudes con el contenido solicitado o con un código de estado
HTTP 403 (Prohibido).
Algunos ataques consisten en tráfico web que se ha disfrazado para parecer tráfico normal de los usuarios.
Para mitigar este tipo de ataques, puede utilizar listas negras basadas en frecuencia de AWS WAF Classic.
Con las listas negras basadas en frecuencia, puede establecer un umbral para el número de solicitudes
que su aplicación web puede atender. Si un bot o rastreador supera este límite, puede utilizar AWS WAF
Classic para bloquear automáticamente las solicitudes adicionales.
AWS proporciona plantillas configuradas previamente que incluyen un conjunto de reglas de AWS
WAF Classic que puede personalizar para que se adapten mejor a sus necesidades. Estas plantillas
están diseñadas para bloquear los ataques más frecuentes contra las web como, por ejemplo, bots
malintencionados, inyecciones de código SQL, scripting entre sitios (XSS), inundaciones HTTP y ataques
de atacantes conocidos. En este tutorial se utilizan estas plantillas para proporcionar protección de firewall
para su sitio web. Los siguientes procedimientos muestran cómo implementar las plantillas mediante AWS
CloudFormation. Para obtener más información, como un diagrama de la solución de la plantilla, consulte
AWS WAF Classic Security Automations (Automatizaciones de seguridad de AWS WAF Classic).
La plantilla utiliza algunas características de AWS, como AWS Lambda y Amazon API Gateway, que no
se abordan en este tutorial. La plantilla realiza toda la configuración necesaria, por lo que no es necesario
llevar a cabo ninguna acción adicional para esos servicios. Sin embargo, si desea obtener más información
sobre Lambda y Amazon API Gateway, consulte la Guía para desarrolladores de AWS Lambda y la Guía
para desarrolladores de Amazon API Gateway.
Important
Usted es responsable de los costos de todos los servicios de AWS que se implementan como
parte de esta plantilla, incluidos Amazon S3, AWS Lambda, Amazon API Gateway, AWS WAF
Classic, etc. Para obtener información completa, consulte la página de precios de cada uno de los
servicios de AWS.
Temas
• Lanzamiento de la pila (plantilla) (p. 130)
• Asociación de la ACL web con su aplicación web (p. 132)
• Configuración de registros de acceso web (p. 132)
Nombre de la pila
Escriba un nombre para la configuración de AWS WAF. Este será también el nombre de la ACL
web que cree la plantilla, por ejemplo, MyWebsiteACL.
Activate SQL Injection Protection
Elija yes para habilitar el componente que está diseñado para bloquear ataques comunes de
inyección de código SQL.
Activate Cross-site Scripting Protection
Elija yes para habilitar el componente que está diseñado para bloquear ataques comunes de
scripting entre sitios (XSS).
Activate HTTP Flood Protection
Seleccione yes (sí). Este componente configura una regla basada en la frecuencia para proteger
contra ataques consistentes en un gran número de solicitudes desde una determinada dirección
IP como, por ejemplo, un ataque DDoS de capa web o un intento de inicio de sesión por fuerza
bruta. La regla basada en la frecuencia se activa automáticamente cuando las solicitudes web
de un cliente superan un umbral configurable, que define el número máximo de solicitudes
entrantes permitidas desde una dirección IP en un periodo de cinco minutos. Cuando se alcanza
este umbral, las solicitudes adicionales desde la dirección IP se bloquean hasta que la tasa de
solicitudes queda por debajo del umbral. Para obtener más información acerca de las reglas
basadas en frecuencia, consulte ¿Cómo funciona AWS WAF Classic?
Activate Scanner & Probe Protection
Elija yes para habilitar el componente que está diseñado para bloquear escáneres y sondas.
Activate Reputation List Protection
Elija yes para bloquear las solicitudes procedentes de direcciones IP incluidas en listas de
reputación de terceros (listas admitidas: spamhaus, torproject y emergingthreats).
Activate Bad Bot Protection
Seleccione yes (sí). La plantilla requiere que esta protección esté habilitada. Sin embargo, para
aprovechar al máximo esta protección, debe realizar otros pasos adicionales que quedan fuera
del ámbito de este tutorial, como la creación de un enlace señuelo. Esos pasos se describen en
el paso 3 de AWS WAF Security Automations (Automatizaciones de seguridad de AWS WAF).
Embed the Honeypot Link in Your Web Application. Estos pasos adicionales son opcionales y no
son obligatorios para completar este tutorial. Si decide realizar estos pasos adicionales, complete
este tutorial primero y, a continuación, puede configurar el enlace señuelo.
CloudFront Access Log Bucket Name
Escriba un nombre para el bucket de Amazon S3 donde desee almacenar los registros de acceso
para la distribución de CloudFront. Este es el nombre de un nuevo bucket que la plantilla crea
durante el lanzamiento de la pila. No utilice un nombre existente.
Important
Se utiliza para la protección contra inundaciones HTTP, por lo que no es aplicable para este
tutorial. Puede dejar el valor predeterminado, que es 2000.
Error Threshold
Es el número máximo aceptable de solicitudes malignas por minuto por dirección IP. Se utiliza
para la protección contra escáneres y sondas. Use el valor predeterminado (50).
Periodo de bloqueo de WAF
Es el periodo (en minutos) para bloquear direcciones IP aplicables que identifica la protección
contra escáneres y sondas. Use el valor predeterminado (240).
Send Anonymous Usage Data
Elija yes para enviar datos anónimos a AWS que nos ayuden a comprender el uso de soluciones
en toda nuestra base de clientes. Para cancelar esta característica, elija no.
5. Elija Next (Siguiente).
6. No haga ningún cambio en la página Options.
7. Elija Next (Siguiente).
8. En la página Review, revise y confirme la configuración. Asegúrese de seleccionar la casilla de
verificación para confirmar que la plantilla creará recursos de AWS Identity and Access Management
(IAM).
9. Elija Create para implementar la pila.
Puede ver el estado de la pila en la consola de AWS CloudFormation en la columna Status (Estado).
Debería ver el estado CREATE_COMPLETE en aproximadamente quince (15) minutos.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Seleccione la ACL web recién creada. El nombre de esta ACL es el nombre que especificó en el paso
anterior, por ejemplo, MyWebsiteACL.
4. Elija la pestaña Rules.
5. Elija Add association.
6. En AWS resources using this web ACL (Recursos de AWS que usan esta ACL web), elija la
distribución de CloudFront que creó anteriormente en este tutorial.
7. Elija Add para guardar los cambios.
Ahora dispone de varios componentes para contribuir a proteger su sitio web contra ataques DDoS. Sin
embargo, todavía se puede hacer más. A continuación se muestran varias prácticas recomendadas que
debe tener en cuenta. En este tutorial no se explican los detalles de implementación de las prácticas
recomendadas, pero se proporcionan enlaces a la documentación pertinente.
Temas
• Ocultación de recursos de AWS (p. 133)
• Uso de grupos de seguridad (p. 133)
• Listas de control de acceso (ACL) de red (p. 134)
• Protección del origen (p. 134)
• Conclusión (p. 134)
Los grupos de seguridad y las ACL de la red son similares en el sentido de que le permiten controlar el
acceso a los recursos de AWS dentro de su Amazon VPC. Los grupos de seguridad le permiten controlar
el tráfico entrante y saliente en el ámbito de la instancia. Las ACL de red ofrecen capacidades similares,
pero en el ámbito de la subred de VPC. Además, no se aplican cargos por las transferencias de datos
entrantes en las reglas de grupos de seguridad o las ACL de red de Amazon EC2. Esto garantiza que no
incurrirá en cargos adicionales por el tráfico generado por los grupos de seguridad y las ACL de red.
deniega implícitamente a menos que cree una regla Allow para permitir dicho tráfico. Por ejemplo, en este
tutorial, ha creado una solución que consta de un ELB y dos instancias Amazon EC2. Debe considerar la
creación de un grupo de seguridad para el ELB ("grupo de seguridad del ELB") y otro para las instancias
("grupo de seguridad del servidor de aplicaciones web"). A continuación, puede crear reglas Allow para
permitir el tráfico procedente de Internet hacia el grupo de seguridad de ELB y para permitir el tráfico
procedente del grupo de seguridad de ELB hacia el grupo de seguridad del servidor de aplicaciones web.
Por tanto, el tráfico procedente de Internet no puede comunicarse directamente con sus instancias Amazon
EC2, por lo que para un atacante es más difícil obtener información sobre el diseño y la estructura de su
sitio web.
Conclusión
Las prácticas recomendadas que se describen en este tutorial pueden ayudarle a crear una arquitectura
resistente a ataques DDoS que puede proteger la disponibilidad de su sitio web frente a muchos ataques
DDoS comunes a las capas de infraestructura y aplicación. Su capacidad de diseñar su aplicación en
función de estas prácticas recomendadas influye en el tipo y el volumen de los ataques DDoS que puede
mitigar.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Los siguientes temas de tutorial enlazan con el AWS Security Blog (Blog de seguridad de AWS).
• How to Import IP Address Reputation Lists to Automatically Update AWS WAF IP Blacklists (Cómo
importar listas de reputación de direcciones para actualizar automáticamente listas negras de IP de AWS
WAF)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Una lista de control de acceso web (ACL web) le ofrece un control minucioso de las solicitudes web a las
que responden la API de Amazon API Gateway, una distribución de Amazon CloudFront o Balanceador de
carga de aplicaciones. Puede permitir o bloquear los siguientes tipos de solicitudes:
También puede probar cualquier combinación de estas condiciones, o bien bloquear o contar solicitudes
web que no solo cumplan las condiciones especificadas, sino que también superen un número
determinado de solicitudes en un periodo de cinco minutos.
Para elegir las solicitudes que desea que accedan a su contenido o que desea bloquear, realice las
siguientes tareas:
1. Elija la acción por defecto para permitir o bloquear solicitudes web que no coincidan con ninguna de las
condiciones que se han especificado. Para obtener más información, consulte Decisión sobre la acción
predeterminada para una ACL web (p. 175).
2. Especifique las condiciones para las que desea permitir o bloquear las solicitudes:
• Para permitir o bloquear las solicitudes en función de si las solicitudes pueden contener scripts
maliciosos, cree condiciones de coincidencia de scripting entre sitios. Para obtener más información,
consulte Uso de condiciones de coincidencia de scripting entre sitios (p. 137).
• Para permitir o bloquear las solicitudes en función de las direcciones IP de las que proceden, cree
condiciones de coincidencia de IP. Para obtener más información, consulte Uso de condiciones de
coincidencia de IP (p. 142).
• Para permitir o bloquear las solicitudes en función del país del que proceden, cree condiciones de
coincidencia geográfica. Para obtener más información, consulte Uso de condiciones de coincidencia
geográfica (p. 144).
• Para permitir o bloquear las solicitudes en función de si las solicitudes superan una longitud
específica, cree condiciones de restricción de tamaño. Para obtener más información, consulte Uso
de condiciones de restricción de tamaño (p. 146).
• Para permitir o bloquear las solicitudes en función de si las solicitudes parecen contener código
SQL malicioso, cree condiciones de coincidencia de inyección de código SQL. Para obtener más
información, consulte Uso de condiciones de coincidencia de inyección de código SQL (p. 151).
• Para permitir o bloquear las solicitudes en función de las cadenas que aparecen en las solicitudes,
cree condiciones de coincidencia de cadena. Para obtener más información, consulte Uso de
condiciones de coincidencia de cadena (p. 156).
• Para permitir o bloquear las solicitudes en función de un patrón de expresiones regulares que aparece
en las solicitudes, cree condiciones de coincidencia de regex. Para obtener más información, consulte
Uso de condiciones de coincidencia de regex (p. 161).
3. Añada las condiciones para una o varias reglas. Si añade más de una condición para la misma regla,
las solicitudes web deben coincidir con todas las condiciones para que AWS WAF Classic permita
o bloquee las solicitudes en función de la regla. Para obtener más información, consulte Uso de
reglas (p. 167). Opcionalmente, puede utilizar una regla basada en frecuencia en lugar de una regla
normal para limitar el número de solicitudes desde cualquier dirección IP que cumpla las condiciones.
4. Añada las reglas a una ACL web. Para cada regla, especifique si quiere que AWS WAF Classic permita
o bloquee las solicitudes en función de las condiciones que ha incluido en la regla. Si añade más de una
regla para una ACL web, AWS WAF Classic evalúa las reglas en el orden en el que se muestran en la
ACL web. Para obtener más información, consulte Uso de ACL web (p. 174).
Cuando se añade una nueva regla o se actualizan las existentes, los cambios pueden tardar en
aparecer y en estar activos en las ACL web y en los recursos hasta un minuto.
Temas
• Uso de condiciones (p. 136)
• Uso de reglas (p. 167)
• Uso de ACL web (p. 174)
Uso de condiciones
Note
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
• Para permitir o bloquear las solicitudes en función de si las solicitudes pueden contener scripts
maliciosos, cree condiciones de coincidencia de scripting entre sitios. Para obtener más información,
consulte Uso de condiciones de coincidencia de scripting entre sitios (p. 137).
• Para permitir o bloquear las solicitudes en función de las direcciones IP de las que proceden, cree
condiciones de coincidencia de IP. Para obtener más información, consulte Uso de condiciones de
coincidencia de IP (p. 142).
• Para permitir o bloquear las solicitudes en función del país del que proceden, cree condiciones de
coincidencia geográfica. Para obtener más información, consulte Uso de condiciones de coincidencia
geográfica (p. 144).
• Para permitir o bloquear las solicitudes en función de si las solicitudes superan una longitud específica,
cree condiciones de restricción de tamaño. Para obtener más información, consulte Uso de condiciones
de restricción de tamaño (p. 146).
• Para permitir o bloquear las solicitudes en función de si las solicitudes parecen contener código SQL
malicioso, cree condiciones de coincidencia de inyección de código SQL. Para obtener más información,
consulte Uso de condiciones de coincidencia de inyección de código SQL (p. 151).
• Para permitir o bloquear las solicitudes en función de las cadenas que aparecen en las solicitudes, cree
condiciones de coincidencia de cadena. Para obtener más información, consulte Uso de condiciones de
coincidencia de cadena (p. 156).
• Para permitir o bloquear las solicitudes en función de un patrón de expresiones regulares que aparece
en las solicitudes, cree condiciones de coincidencia de regex. Para obtener más información, consulte
Uso de condiciones de coincidencia de regex (p. 161).
Temas
• Uso de condiciones de coincidencia de scripting entre sitios (p. 137)
• Uso de condiciones de coincidencia de IP (p. 142)
• Uso de condiciones de coincidencia geográfica (p. 144)
• Uso de condiciones de restricción de tamaño (p. 146)
• Uso de condiciones de coincidencia de inyección de código SQL (p. 151)
• Uso de condiciones de coincidencia de cadena (p. 156)
• Uso de condiciones de coincidencia de regex (p. 161)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Los atacantes a veces insertan scripts en solicitudes web para aprovechar las vulnerabilidades de las
aplicaciones web. Puede crear una o varias condiciones de coincidencia de scripting entre sitios para
identificar las partes de las solicitudes web, como la URI o la cadena de consulta, que desea que AWS
WAF Classic inspeccione en busca de posibles scripts maliciosos. Más adelante, cuando cree una
ACL web, puede especificar si desea permitir o bloquear las solicitudes que parecen contener scripts
maliciosos.
Temas
• Creación de condiciones de coincidencia de scripting entre sitios (p. 137)
• Valores que se especifican al crear o editar condiciones de coincidencia de scripting entre
sitios (p. 138)
• Adición y eliminación de filtros en una condición de coincidencia de scripting entre sitios (p. 141)
• Eliminación de condiciones de coincidencia de scripting entre sitios (p. 141)
• Más de un filtro por condición de coincidencia de scripting entre sitios (recomendado): – al añadir una
condición de coincidencia de scripting entre sitios que contiene varios filtros a una regla y añadir la
regla a una ACL web, una solicitud web solo debe coincidir con uno de los filtros de la condición de
coincidencia de scripting entre sitios para que AWS WAF Classic permita o bloquee la solicitud en
función de dicha condición.
Por ejemplo, suponga que crea una condición de coincidencia de scripting entre sitios y la condición
contiene dos filtros. Un filtro indica a AWS WAF Classic que inspeccione la URI en busca de scripts
maliciosos y el otro indica a AWS WAF Classic que inspeccione la cadena de consulta. AWS WAF
Classic permite o bloquea solicitudes si es probable que contengan scripts maliciosos bien en la URI o
bien en la cadena de consulta.
• Un filtro por condición de coincidencia de scriptings entre sitios: – al añadir las condiciones de
coincidencia de scripting entre sitios independientes a una regla y añadir la regla a una ACL web, las
solicitudes web deben coincidir con todas las condiciones para que AWS WAF Classic permita o bloquee
las solicitudes en función de dichas condiciones.
Supongamos que crea dos condiciones y que cada condición contiene uno de los dos filtros del ejemplo
anterior. Al añadir las dos condiciones a la misma regla y añadir la regla a una ACL web, AWS WAF
Classic permite o bloquea las solicitudes solo cuando es probable que la URI y la cadena de consulta
contengan scripts maliciosos.
Note
Al añadir la condición de coincidencia de scripting entre sitios a una regla, también puede
configurar AWS WAF Classic para que permita o bloquee solicitudes web que es probable que no
contengan scripts maliciosos.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Cross-site scripting.
3. Elija Create condition.
4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se
especifican al crear o editar condiciones de coincidencia de scripting entre sitios (p. 138).
5. Elija Add another filter.
6. Si desea añadir otro filtro, repita los pasos 4 y 5.
7. Cuando haya acabado de añadir filtros, seleccione Create.
Nombre
El nombre solo puede contener los caracteres A-Z, a-z, 0-9 y los caracteres especiales: _-!"#`+*},./ . No
se puede cambiar el nombre de una condición después de crearla.
Parte de la solicitud para filtrar en
Elija la parte de cada solicitud web que desea que inspeccione AWS WAF Classic en busca de scripts
maliciosos:
Encabezado
El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo.
CloudFront admite los siguientes métodos: DELETE, GET, HEAD, OPTIONS, PATCH, POST y PUT.
Cadena de consulta
Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web
como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.
Note
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB). Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Parámetro de consulta único (solo valor)
Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la
URL es "www.xyz.com?UserName=abc&SalesRegion=seattle", puede añadir un filtro o bien en el
parámetro UserName o en el parámetro SalesRegion.
Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también
debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el
parámetro de la cadena de consulta que inspeccionará, como UserName o SalesRegion. La
longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30
caracteres. Query parameter name (Nombre de parámetro de consulta) no distingue entre
mayúsculas y minúsculas. Por ejemplo, si especifica UserName como Query parameter name
(Nombre de parámetro de consulta), este valor coincidirá con todas las variaciones de UserName
como, por ejemplo, username o UsERName.
Todos los parámetros de consulta (solo valores)
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo valor]), pero
en lugar de inspeccionar los valores de un único parámetro, AWS WAF Classic inspecciona todos
los valores de los parámetros de la cadena de consulta para detectar posibles scripts maliciosos.
Por ejemplo, si la URL es "www.xyz.com?UserName=abc&SalesRegion=seattle" y elige All query
parameters (values only) (Todos los parámetros de consulta [solo valores]), AWS WAF Classic
activará una coincidencia si los valores de UserName o SalesRegion contienen posibles scripts
maliciosos.
Encabezado
Si elige Header (Encabezado) para Part of the request to filter on (Parte de la consulta que se va a
filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que AWS WAF Classic inspeccione en busca de scripts maliciosos.
Transformación
Una transformación reformatea una solicitud web antes de que AWS WAF Classic inspeccione
la solicitud. De este modo, se elimina parte del formato inusual que los atacantes utilizan en las
solicitudes web con el objetivo de eludir AWS WAF Classic.
AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de
inspeccionarla para la cadena en Value to match (Valor que debe coincidir).
Cambiar a minúsculas
AWS WAF Classic sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &
• Sustituye por un espacio de no separación
• Sustituye < por <
• Sustituye > por >
• Sustituye los caracteres representados con formato hexadecimal, &#xhhhh;, por los caracteres
correspondientes
• Sustituye los caracteres representados con formato decimal, &#nnnn;, por los caracteres
correspondientes
Normalizar espacios en blanco
AWS WAF Classic sustituye los siguientes caracteres por un carácter de espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
• espacio de no separación, 160 decimales
Para las solicitudes que contienen los comandos de línea de comandos del sistema operativo,
utilice esta opción para realizar las siguientes transformaciones:
• Eliminar los siguientes caracteres: \ " ' ^
Para añadir o eliminar filtros en una condición de coincidencia de scripting entre sitios
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Cross-site scripting.
3. Elija la condición para la que desea añadir o eliminar filtros.
4. Para añadir filtros, siga los siguientes pasos:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Cross-site scripting.
3. En el panel Cross-site scripting match conditions, elija la condición de coincidencia de scripting entre
sitios que desea eliminar.
4. En el panel de la derecha, elija la pestaña Associated rules.
Si la lista de reglas que utilizan esta condición de coincidencia de scripting entre sitios está vacía, vaya
al paso 6. Si la lista contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de coincidencia de scripting entre sitios de las reglas que la utilizan, siga los
siguientes pasos:
b. Elija el nombre de una regla que utilice la condición de coincidencia de scripting entre sitios que
desea eliminar.
c. En el panel de la derecha, seleccione la condición de coincidencia de scripting entre sitios que
desea eliminar de la regla y elija Remove selected condition.
d. Repita los pasos b y c para todas las demás reglas que utilizan la condición de coincidencia de
scripting entre sitios que desea eliminar.
e. En el panel de navegación, seleccione Cross-site scripting.
f. En el panel Cross-site scripting match conditions, elija la condición de coincidencia de scripting
entre sitios que desea eliminar.
6. Elija Delete para eliminar la condición seleccionada.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Si desea permitir o bloquear solicitudes web en función de las direcciones IP de las que proceden las
solicitudes, cree una o más condiciones de coincidencia de IP. Una condición de coincidencia enumera
hasta 10 000 direcciones IP o rangos de direcciones IP de las que proceden sus solicitudes. Más adelante,
cuando cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes de dichas
direcciones IP.
Temas
• Creación de una condición de coincidencia de IP (p. 142)
• Edición de condiciones de coincidencia de IP (p. 143)
• Eliminación de condiciones de coincidencia de IP (p. 144)
Al añadir una condición de coincidencia de IP para satisfacer una regla, también puede configurar
AWS WAF Classic para que permita o bloquee solicitudes web que no provengan de las
direcciones IP que especifique en la condición.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione IP addresses.
3. Elija Create condition.
4. Escriba un nombre en el campo Name (Nombre) .
El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres
especiales: _-!"#`+*},./ . No se puede cambiar el nombre de una condición después de crearla.
AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier rango entre /16
y /32. AWS WAF Classic admite los rangos de direcciones IPv6 siguientes: /24, /32, /48, /56, /64
y /128. Para obtener más información acerca de la notación CIDR, consulte la entrada de la Wikipedia
Classless Inter-Domain Routing.
6. Elija Add another IP address or range.
7. Si desea añadir otra dirección IP u otro rango, repita los pasos 5 y 6.
8. Cuando termine de añadir valores, elija Create IP match condition.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione IP addresses.
3. En el panel IP match conditions, elija la condición de coincidencia de IP que desea editar.
4. Para añadir un rango de direcciones IP:
AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier
rango entre /16 y /32. AWS WAF Classic admite los rangos de direcciones IPv6
siguientes: /24, /32, /48, /56, /64 y /128. Para obtener más información acerca de la notación
CIDR, consulte la entrada de la Wikipedia Classless Inter-Domain Routing.
c. Para añadir más direcciones IP, elija Add another IP address (Añadir otra dirección IP) y escriba
el valor.
d. Elija Add.
5. Para eliminar una dirección IP o un rango:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione IP addresses.
3. En el panel IP match conditions, elija la condición de coincidencia de IP que desea eliminar.
4. En el panel de la derecha, elija la pestaña Rules.
Si la lista de reglas que utilizan la condición de coincidencia de IP está vacía, vaya al paso 6. Si la lista
contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de coincidencia de IP de las reglas que la utilizan, siga los siguientes pasos:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Si desea permitir o bloquear solicitudes web en función del país del que proceden las solicitudes, cree
una o más condiciones de coincidencia geográfica. Una condición de coincidencia geográfica enumera los
países de los que provienen las solicitudes. Más adelante, cuando cree una ACL web, puede especificar si
desea permitir o bloquear las solicitudes procedentes de dichos países.
Puede utilizar condiciones de coincidencia geográfica con otras reglas o condiciones de AWS WAF
Classic para crear filtros sofisticados. Por ejemplo, si desea bloquear determinados países, pero seguir
permitiendo direcciones IP específicas de dichos países, puede crear una regla que contenga una
condición de coincidencia geográfica y una condición de coincidencia de IP. Configure la regla para
bloquear las solicitudes que provengan de ese país y no coincidan con las direcciones IP aprobadas. Otro
ejemplo: si desea dar prioridad a los recursos para los usuarios de un determinado país, podría incluir una
condición de coincidencia geográfica con dos reglas diferente basadas en frecuencia. Establezca un límite
de frecuencia mayor para los usuarios del país preferido y un límite de frecuencia menor para todos los
demás usuarios.
Note
AWS WAF Classic. Por lo tanto, si desea permitir o bloquear las solicitudes en función de la zona
geográfica y otras condiciones de AWS WAF Classic, no utilice la característica de restricción
geográfica de CloudFront. En su lugar utilice una condición de coincidencia geográfica de AWS
WAF Classic.
Temas
• Creación de una condición de coincidencia geográfica (p. 145)
• Edición de condiciones de coincidencia geográfica (p. 145)
• Eliminación de condiciones de coincidencia geográfica (p. 146)
Al añadir una condición de coincidencia geográfica para satisfacer una regla, también puede
configurar AWS WAF Classic para que permita o bloquee solicitudes web que no provengan del
país que especifique en la condición.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Geo match.
3. Elija Create condition.
4. Escriba un nombre en el campo Name (Nombre) .
El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres
especiales: _-!"#`+*},./ . No se puede cambiar el nombre de una condición después de crearla.
5. Elija una región en Region.
6. Elija un valor en Location type y un país. El valor de Location type (Tipo de ubicación), actualmente,
solo puede ser Country (País).
7. Elija Add location.
8. Seleccione Create.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Geo match.
3. En el panel Geo match conditions, elija la condición de coincidencia geográfica que desea editar.
4. Para añadir un país:
c. Elija Add.
5. Para eliminar un país:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Quite la condición de coincidencia geográfica de las reglas que la utilizan:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Si desea permitir o bloquear solicitudes web en función de la longitud de determinadas partes de las
solicitudes, cree una o varias condiciones de restricción de tamaño. Una condición de restricción de
tamaño identifica la parte de las solicitudes web que desea que examine AWS WAF Classic, el número de
bytes que desea que busque AWS WAF Classic y un operador, como mayor que (>) o menor que (<). Por
ejemplo, puede utilizar una condición de restricción de tamaño para buscar las cadenas de consulta que
tengan más de 100 bytes. Más adelante, cuando cree una ACL web, puede especificar si desea permitir o
bloquear las solicitudes según dicha configuración.
Tenga en cuenta que si configura AWS WAF Classic para que inspeccione el cuerpo de la solicitud, por
ejemplo, con una búsqueda de una determinada cadena en el cuerpo, AWS WAF Classic inspeccionará
únicamente los primeros 8192 bytes (8 KB). Si el cuerpo de la solicitud para sus solicitudes web nunca va
a superar los 8 192 bytes, puede crear una condición de restricción de tamaño y bloquear las solicitudes
que tengan un cuerpo de la solicitud que supere los 8 192 bytes.
Temas
• Creación de condiciones de restricción de tamaño (p. 147)
• Valores que se especifican al crear o editar condiciones de restricción de tamaño (p. 148)
• Adición y eliminación de filtros en una condición de restricción de tamaño (p. 150)
• Eliminación de condiciones de restricción de tamaño (p. 151)
Por ejemplo, suponga que crea dos condiciones. Una coincide con solicitudes web cuyas cadenas de
consulta superan los 100 bytes. La otra coincide con las solicitudes web cuyo cuerpo de la solicitud es
superior a 1 024 bytes. Al añadir las dos condiciones a la misma regla y añadir la regla a una ACL web,
AWS WAF Classic permite o bloquea las solicitudes solo cuando se cumplen ambas condiciones.
• Más de un filtro por condición de restricción de tamaño: – al añadir una condición de restricción de
tamaño que contiene varios filtros a una regla y añadir la regla a una ACL web, una solicitud web
únicamente debe coincidir con uno de los filtros de la condición de restricción de tamaño para que AWS
WAF Classic permita o bloquee la solicitud en función de dicha condición.
Supongamos que crea una condición en lugar de dos y que dicha condición contiene los mismos dos
filtros del ejemplo anterior. AWS WAF Classic permite o bloquea las solicitudes si la cadena de consulta
es superior a 100 bytes o si el cuerpo de la solicitud es superior a 1024 bytes.
Note
Al añadir una condición de restricción de tamaño a una regla, también puede configurar AWS
WAF Classic para que permita o bloquee solicitudes web que no coinciden con los valores de la
condición.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Size constraints.
3. Elija Create condition.
4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se
especifican al crear o editar condiciones de restricción de tamaño (p. 148).
5. Elija Add another filter.
6. Si desea añadir otro filtro, repita los pasos 4 y 5.
Nombre
El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres
especiales: _-!"#`+*},./. No se puede cambiar el nombre de una condición después de crearla.
Parte de la solicitud para filtrar en
Elija la parte de cada solicitud web para la que desea que AWS WAF Classic evalúe la longitud:
Encabezado
El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo.
CloudFront admite los siguientes métodos: DELETE, GET, HEAD, OPTIONS, PATCH, POST y PUT.
Cadena de consulta
Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web
como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.
Parámetro de consulta único (solo valor)
Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la
URL es "www.xyz.com?UserName=abc&SalesRegion=seattle", puede añadir un filtro o bien en el
parámetro UserName o en el parámetro SalesRegion.
Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también
debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el
parámetro de la cadena de consulta que inspeccionará, como, por ejemplo, UserName. La
longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30
caracteres. Query parameter name (Nombre de parámetro de consulta) no distingue entre
mayúsculas y minúsculas. Por ejemplo, si especifica UserName como Query parameter name
(Nombre de parámetro de consulta), este valor coincidirá con todas las variaciones de UserName
como, por ejemplo, username o UsERName.
Todos los parámetros de consulta (solo valores)
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo valor]),
pero en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic inspecciona
los valores de todos los parámetros de la cadena de consulta para detectar restricciones de
Si elige Header (Encabezado) para Part of the request to filter on (Parte de la consulta que se va a
filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado cuya longitud desea que evalúe AWS WAF Classic.
Operador de comparación
Elija cómo desea que AWS WAF Classic evalúe la longitud de la cadena de consulta en solicitudes
web en relación con el valor que indique en Size (Tamaño).
Por ejemplo, si elige Is greater than (Superior a) en Comparison operator (Operador de comparación)
y escribe 100 en Size (Tamaño), AWS WAF Classic evalúa solicitudes web para una cadena de
consulta que supere los 100 bytes.
Size
Escriba la longitud, en bytes, que desea que busque AWS WAF Classic en las cadenas de consulta.
Note
Si elige URI para el valor de Part of the request to filter on, la / del URI se cuenta como un
carácter. Por ejemplo, la URI /logo.jpg tiene nueve caracteres.
Transformación
Una transformación reformatea una solicitud web antes de que AWS WAF Classic evalúe la longitud
de la parte específica de la solicitud. De este modo, se elimina parte del formato inusual que los
atacantes utilizan en las solicitudes web con el objetivo de eludir AWS WAF Classic.
Note
Si elige Body (Cuerpo) para Part of the request to filter on (Parte de la consulta que se va
a filtrar), no puede configurar AWS WAF Classic para que lleve a cabo una transformación,
pues solo se reenvían los primeros 8192 bytes para su inspección. Sin embargo, puede
filtrar el tráfico en función del tamaño del cuerpo de la solicitud HTTP y especificar una
transformación de None (Ninguna). (AWS WAF Classic obtiene la longitud del cuerpo de los
encabezados de la solicitud).
AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de
comprobar la longitud.
Cambiar a minúsculas
AWS WAF Classic sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &
• Sustituye por un espacio de no separación
AWS WAF Classic sustituye los siguientes caracteres por un carácter de espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
• espacio de no separación, 160 decimales
Para las solicitudes que contienen los comandos de línea de comandos del sistema operativo,
utilice esta opción para realizar las siguientes transformaciones:
• Eliminar los siguientes caracteres: \ " ' ^
• Eliminar los espacios delante de los siguientes caracteres: / (
• Sustituir los siguientes caracteres por un espacio: , ;
• Sustituir varios espacios por un espacio
• Convertir las mayúsculas (A-Z) en minúsculas (a-z)
Descodificar la URL
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Size constraint.
3. Elija la condición para la que desea añadir o eliminar filtros.
4. Para añadir filtros, siga los siguientes pasos:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija Size constraints.
3. En el panel Size constraint conditions, elija la condición de restricción de tamaño que desea eliminar.
4. En el panel de la derecha, elija la pestaña Associated rules.
Si la lista de reglas que utiliza esta condición de restricción de tamaño está vacía, vaya al paso 6. Si la
lista contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de restricción de tamaño de las reglas que la utilizan, siga los siguientes
pasos:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Los atacantes a veces insertan código SQL malicioso en solicitudes web con el objetivo de extraer datos
de su base de datos. Para permitir o bloquear solicitudes web que parecen contener código SQL malicioso,
cree una o varias condiciones de coincidencia de inyección de código SQL. Una condición de coincidencia
de inyección de código SQL identifica la parte de las solicitudes web que desea que AWS WAF Classic
inspeccione, como la URI o la cadena de consulta. Más adelante, cuando cree una ACL web, puede
especificar si desea permitir o bloquear las solicitudes que parecen contener código SQL maliciosos.
Temas
• Creación de condiciones de coincidencia de inyección de código SQL (p. 152)
• Valores que se especifican al crear o editar condiciones de coincidencia de inyección de código
SQL (p. 152)
• Adición y eliminación de filtros en una condición de coincidencia de inyección de código SQL (p. 155)
• Más de un filtro por condición de coincidencia de inyección de código SQL (recomendado): – al añadir
una condición de coincidencia de inyección de código SQL que contiene varios filtros a una regla y
añadir la regla a una ACL web, una solicitud web solo debe coincidir con uno de los filtros de la condición
de coincidencia de inyección de código SQL para que AWS WAF Classic permita o bloquee la solicitud
en función de dicha condición.
Por ejemplo, suponga que crea una condición de coincidencia de inyección de código SQL y que dicha
condición contiene dos filtros. Un filtro indica a AWS WAF Classic que inspeccione la URI en busca de
código SQL malicioso y el otro indica a AWS WAF Classic que inspeccione la cadena de consulta. AWS
WAF Classic permite o bloquea solicitudes si es probable que contengan código SQL malicioso bien en
la URI o bien en la cadena de consulta.
• Un filtro por condición de coincidencia de inyección de código SQL: – al añadir condiciones de
coincidencia de inyección de código SQL independientes a una regla y añadir la regla a una ACL web,
las solicitudes web deben cumplir con todas las condiciones para que AWS WAF Classic permita o
bloquee las solicitudes en función de dichas condiciones.
Supongamos que crea dos condiciones y que cada condición contiene uno de los dos filtros del ejemplo
anterior. Al añadir las dos condiciones a la misma regla y añadir la regla a una ACL web, AWS WAF
Classic; permite o bloquea las solicitudes solo cuando es probable que la URI y la cadena de consulta
contengan código SQL malicioso.
Note
Al añadir una condición de coincidencia de inyección de código SQL a una regla, también puede
configurar AWS WAF Classic para que permita o bloquee las solicitudes web que no parecen
contener código SQL malicioso.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione SQL injection.
3. Elija Create condition.
4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se
especifican al crear o editar condiciones de coincidencia de inyección de código SQL (p. 152).
5. Elija Add another filter.
6. Si desea añadir otro filtro, repita los pasos 4 y 5.
7. Cuando haya terminado de añadir filtros, seleccione Create.
Nombre
El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres
especiales: _-!"#`+*},./. No se puede cambiar el nombre de una condición después de crearla.
Parte de la solicitud para filtrar en
Elija la parte de cada solicitud web que desea que AWS WAF Classic inspeccione para detectar
código SQL malicioso:
Encabezado
El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo.
CloudFront admite los siguientes métodos: DELETE, GET, HEAD, OPTIONS, PATCH, POST y PUT.
Cadena de consulta
Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web
como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.
Note
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB). Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Parámetro de consulta único (solo valor)
Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la
URL es "www.xyz.com?UserName=abc&SalesRegion=seattle", puede añadir un filtro o bien en el
parámetro UserName o en el parámetro SalesRegion.
Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también
debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el
parámetro de la cadena de consulta que inspeccionará, como UserName o SalesRegion. La
longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo valor]), pero
en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic inspecciona el valor
de todos los parámetros de la cadena de consulta para detectar posible código SQL malicioso.
Por ejemplo, si la URL es "www.xyz.com?UserName=abc&SalesRegion=seattle" y elige All query
parameters (values only) (Todos los parámetros de consulta [solo valores]), AWS WAF Classic
activará una coincidencia si los valores de UserName o de SalesRegion contienen posible código
SQL malicioso.
Encabezado
Si elige Header (Encabezado) para Part of the request to filter on (Parte de la consulta que se va a
filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que AWS WAF Classic inspeccione en busca de código SQL malicioso.
Transformación
Una transformación reformatea una solicitud web antes de que AWS WAF Classic inspeccione
la solicitud. De este modo, se elimina parte del formato inusual que los atacantes utilizan en las
solicitudes web con el objetivo de eludir AWS WAF Classic.
AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de
inspeccionarla para la cadena en Value to match (Valor que debe coincidir).
Cambiar a minúsculas
AWS WAF Classic sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &
• Sustituye por un espacio de no separación
• Sustituye < por <
• Sustituye > por >
• Sustituye los caracteres representados con formato hexadecimal, &#xhhhh;, por los caracteres
correspondientes
• Sustituye los caracteres representados con formato decimal, &#nnnn;, por los caracteres
correspondientes
Normalizar espacios en blanco
AWS WAF Classic sustituye los siguientes caracteres por un carácter de espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
Para las solicitudes que contienen los comandos de línea de comandos del sistema operativo,
utilice esta opción para realizar las siguientes transformaciones:
• Eliminar los siguientes caracteres: \ " ' ^
• Eliminar los espacios delante de los siguientes caracteres: / (
• Sustituir los siguientes caracteres por un espacio: , ;
• Sustituir varios espacios por un espacio
• Convertir las mayúsculas (A-Z) en minúsculas (a-z)
Descodificar la URL
Para añadir o eliminar filtros en una condición de coincidencia de inyección de código SQL
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione SQL injection.
3. Elija la condición para la que desea añadir o eliminar filtros.
4. Para añadir filtros, siga los siguientes pasos:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione SQL injection.
3. En el panel SQL injection match conditions, elija la condición de inyección SQL que desea eliminar.
Si la lista de reglas que utilizan la condición de coincidencia de inyección de código SQL está vacía,
vaya al paso 6. Si la lista contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de coincidencia de inyección de código SQL de las reglas que la utilizan,
siga los siguientes pasos:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Si desea permitir o bloquear las solicitudes web en función de las cadenas que aparecen en las solicitudes,
cree una o más condiciones de coincidencia de cadena. Una condición de coincidencia de cadena
identifica la cadena que desea buscar y la parte de las solicitudes web que desea que AWS WAF Classic
inspeccione de la cadena, como un encabezado específico o la cadena de consulta. Más adelante, cuando
cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes que contienen la cadena.
Temas
• Creación de una condición de coincidencia de cadena (p. 156)
• Valores que se pueden especificar al crear o editar condiciones de coincidencia de cadena (p. 157)
• Adición y eliminación de filtros en una condición de coincidencia de cadena (p. 160)
• Eliminación de condiciones de coincidencia de cadena (p. 161)
Por ejemplo, suponga que crea dos condiciones. Una coincide con las solicitudes web que contienen el
valor BadBot en el encabezado User-Agent. La otra coincide con las solicitudes web que contienen el
valor BadParameter en cadenas de consulta. Al añadir las dos condiciones a la misma regla y añadir la
regla a una ACL web, AWS WAF Classic permite o bloquea las solicitudes solo cuando contienen ambos
valores.
• Más de un filtro por condición de coincidencia de cadena: – al añadir una condición de coincidencia
de cadena que contiene varios filtros a una regla y añadir la regla a una ACL web, una solicitud web
únicamente debe coincidir con uno de los filtros de la condición de coincidencia de cadena para que
AWS WAF Classic permita o bloquee la solicitud en función de una condición.
Supongamos que crea una condición en lugar de dos y que dicha condición contiene los mismos dos
filtros del ejemplo anterior. AWS WAF Classic permite o bloquea solicitudes si contienen bien BadBot en
el encabezado User-Agent o BadParameter en la cadena de consulta.
Note
Al añadir una condición de coincidencia de cadena a una regla, también puede configurar AWS
WAF Classic para que permita o bloquee solicitudes web que no coinciden con los valores de la
condición.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija String and regex matching.
3. Elija Create condition.
4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se
pueden especificar al crear o editar condiciones de coincidencia de cadena (p. 157).
5. Elija Add filter.
6. Si desea añadir otro filtro, repita los pasos 4 y 5.
7. Cuando haya terminado de añadir filtros, seleccione Create.
Nombre
Escriba un nombre para la condición de coincidencia de cadena. El nombre solo puede contener
caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres especiales: _-!"#`+*},./. No se
puede cambiar el nombre de una condición después de crearla.
Tipo
Elija la parte de cada solicitud web que desea que AWS WAF Classic inspeccione de la cadena y que
ha especificado en Value to match (Valor que debe coincidir):
Encabezado
Método HTTP
El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo.
CloudFront admite los siguientes métodos: DELETE, GET, HEAD, OPTIONS, PATCH, POST y PUT.
Cadena de consulta
Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web
como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.
Note
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB). Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Parámetro de consulta único (solo valor)
Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la
URL es "www.xyz.com?UserName=abc&SalesRegion=seattle", puede añadir un filtro o bien en el
parámetro UserName o en el parámetro SalesRegion.
Si hay parámetros duplicados en la cadena de consulta, los valores se evalúan como "OR".
Es decir, ambos valores activarán una coincidencia. Por ejemplo, en la URL "www.xyz.com?
SalesRegion=boston&SalesRegion=seattle", tanto "boston" como "seattle" en Value to match
(Valor que debe coincidir) activarán una coincidencia.
Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también
debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el
parámetro de la cadena de consulta que inspeccionará, como UserName o SalesRegion. La
longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30
caracteres. Query parameter name (Nombre de parámetro de consulta) no distingue entre
mayúsculas y minúsculas. Por ejemplo, si especifica UserName como Query parameter name
(Nombre de parámetro de consulta), este valor coincidirá con todas las variaciones de UserName
como, por ejemplo, username o UsERName.
Todos los parámetros de consulta (solo valores)
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo valor]), pero
en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic inspecciona el valor
de todos los parámetros de la cadena de consulta de Value to match (Valor que debe coincidir).
Por ejemplo, si la URL es "www.xyz.com?UserName=abc&SalesRegion=seattle" y elige All query
parameters (values only) (Todos los parámetros de consulta [solo valores]), AWS WAF Classic
activará una coincidencia si el valor de UserName o el de SalesRegion se especifican como Value
to match (Valor que debe coincidir).
Encabezado (solo cuando "Parte de la solicitud para filtrar en" es "Encabezado")
Si elige Header (Encabezado) en la lista Part of the request to filter on (Parte de la consulta que se va
a filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que inspeccione AWS WAF Classic.
Tipo de coincidencia
En la parte de la solicitud que desea que AWS WAF Classic inspeccione, elija dónde debe aparecer la
cadena en Value to match (Valor que debe coincidir) para adaptarse a este filtro:
Contiene
La parte especificada de la solicitud web debe incluir Value to match y Value to match debe
contener únicamente caracteres alfanuméricos o guion bajo (A-Z, a-z, 0-9 o _). Además, Value to
match debe ser una palabra, lo que significa una de las siguientes opciones:
• Value to match coincide exactamente con el valor de la parte especificada de la solicitud web,
como, por ejemplo, el valor de un encabezado.
• Value to match está al principio de la parte especificada de la solicitud web y le sigue un
carácter que no es alfanumérico ni guion bajo (_), por ejemplo, BadBot;.
• Value to match está al final de la parte especificada de la solicitud web y le precede un carácter
que no es alfanumérico ni guion bajo (_), por ejemplo, ;BadBot.
• Value to match está en la mitad de la parte especificada de la solicitud web y va precedida y
seguida de caracteres que no son alfanuméricos ni guion bajo (_), por ejemplo, -BadBot;.
Coincidencia exacta
Una transformación reformatea una solicitud web antes de que AWS WAF Classic inspeccione
la solicitud. De este modo, se elimina parte del formato inusual que los atacantes utilizan en las
solicitudes web con el objetivo de eludir AWS WAF Classic.
AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de
inspeccionarla para la cadena en Value to match (Valor que debe coincidir).
Cambiar a minúsculas
AWS WAF Classic sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &
• Sustituye por un espacio de no separación
• Sustituye < por <
• Sustituye > por >
• Sustituye los caracteres representados con formato hexadecimal, &#xhhhh;, por los caracteres
correspondientes
• Sustituye los caracteres representados con formato decimal, &#nnnn;, por los caracteres
correspondientes
Normalizar espacios en blanco
AWS WAF Classic sustituye los siguientes caracteres por un carácter de espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
• espacio de no separación, 160 decimales
Si el valor de Value to match tiene codificación base64, seleccione esta casilla de verificación. Utilice
la codificación base64 para especificar caracteres no imprimibles, como pestañas y saltos de línea,
que los atacantes incluyen en sus solicitudes.
Valor que debe coincidir
Especifique el valor que desea que AWS WAF Classic busque en las solicitudes web. La longitud
máxima es de 50 bytes. Si su valor tiene codificación base64, la longitud máxima de 50 bytes se aplica
al valor antes de codificarlo.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija String and regex matching.
3. Elija la condición para la que desea añadir o eliminar filtros.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Quite la condición de coincidencia de cadena de las reglas que la utilizan:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Versión de API 2019-07-29
161
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Uso de condiciones
Si desea permitir o bloquear las solicitudes web en función de las cadenas que coinciden con un patrón
de expresión regular (regex) que aparece en las solicitudes, cree una o más condiciones de coincidencia
de regex. Una condición de coincidencia de regex es un tipo de condición de coincidencia de cadena
que identifica el patrón que desea buscar y la parte de las solicitudes web que desea que AWS WAF
Classic inspeccione en búsqueda del patrón, como un encabezado específico o la cadena de consulta.
Más adelante, cuando cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes
que contienen el patrón.
Temas
• Creación de una condición de coincidencia de regex (p. 162)
• Valores que se pueden especificar al crear o editar condiciones de coincidencia de regex (p. 163)
• Edición de una condición de coincidencia de regex (p. 165)
Puede añadir varias expresiones regulares a un único conjunto de patrones. Si lo hace, esas expresiones
se combinan con un OR. Es decir, una solicitud web coincidirá con el conjunto de patrones si la parte
correspondiente de la solicitud coincide con cualquiera de las expresiones que se enumeran.
Al añadir una condición de coincidencia de regex a una regla, también puede configurar AWS WAF Classic
para que permita o bloquee solicitudes web que no coinciden con los valores de la condición.
AWS WAF Classic admite la mayoría de las expresiones regulares compatibles con Perl (PCRE) estándar.
Sin embargo, no se admiten las siguientes:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija String and regex matching.
3. Elija Create condition.
4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se
pueden especificar al crear o editar condiciones de coincidencia de regex (p. 163).
5. Elija Create pattern set and add filter (si ha creado un nuevo conjunto de patrones) o Add filter si utilizó
un conjunto de patrones existente.
6. Seleccione Create.
Nombre
Escriba un nombre para la condición de coincidencia de regex. El nombre solo puede contener
caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres especiales: _-!"#`+*},./. No se
puede cambiar el nombre de una condición después de crearla.
Tipo
Elija la parte de cada solicitud web que desea que AWS WAF Classic inspeccione para buscar el
patrón que ha especificado en Value to match (Valor que debe coincidir):
Encabezado
El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo.
CloudFront admite los siguientes métodos: DELETE, GET, HEAD, OPTIONS, PATCH, POST y PUT.
Cadena de consulta
Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web
como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.
Note
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB). Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Parámetro de consulta único (solo valor)
Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la
URL es "www.xyz.com?UserName=abc&SalesRegion=seattle", puede añadir un filtro o bien en el
parámetro UserName o en el parámetro SalesRegion.
Si hay parámetros duplicados en la cadena de consulta, los valores se evalúan como "OR".
Es decir, ambos valores activarán una coincidencia. Por ejemplo, en la URL "www.xyz.com?
SalesRegion=boston&SalesRegion=seattle", un patrón que coincida con "boston" o "seattle" en
Value to match (Valor que debe coincidir) activará una coincidencia.
Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también
debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el
parámetro de la cadena de consulta que inspeccionará, como UserName o SalesRegion. La
longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30
caracteres. Query parameter name (Nombre de parámetro de consulta) no distingue entre
mayúsculas y minúsculas. Por ejemplo, si especifica UserName como Query parameter name
(Nombre de parámetro de consulta), este valor coincidirá con todas las variaciones de UserName
como, por ejemplo, username o UsERName.
Todos los parámetros de consulta (solo valores)
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo
valor]), pero en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic
inspecciona el valor de todos los parámetros de la cadena de consulta del patrón especificado
en Value to match (Valor que debe coincidir). Por ejemplo, en la URL "www.xyz.com?
UserName=abc&SalesRegion=seattle", un patrón de Value to match (Valor que debe coincidir)
que coincida con el valor de UserName o SalesRegion activará una coincidencia.
Encabezado (solo cuando "Parte de la solicitud para filtrar en" es "Encabezado")
Si elige Header (Encabezado) en la lista Part of the request to filter on (Parte de la consulta que se va
a filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que inspeccione AWS WAF Classic.
Transformación
Una transformación reformatea una solicitud web antes de que AWS WAF Classic inspeccione
la solicitud. De este modo, se elimina parte del formato inusual que los atacantes utilizan en las
solicitudes web con el objetivo de eludir AWS WAF Classic.
AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de
inspeccionarla para la cadena en Value to match (Valor que debe coincidir).
Cambiar a minúsculas
AWS WAF Classic sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &
• Sustituye por un espacio de no separación
• Sustituye < por <
• Sustituye > por >
• Sustituye los caracteres representados con formato hexadecimal, &#xhhhh;, por los caracteres
correspondientes
• Sustituye los caracteres representados con formato decimal, &#nnnn;, por los caracteres
correspondientes
AWS WAF Classic sustituye los siguientes caracteres por un carácter de espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
• espacio de no separación, 160 decimales
Puede elegir un conjunto de patrones existente o crear uno nuevo. Si crea uno nuevo, especifique lo
siguiente:
Nombre del nuevo patrón
Note
No puede añadir ni eliminar un conjunto de patrones de un filtro existente. Debe editar el conjunto
de patrones, o eliminar el filtro y crear un nuevo filtro con un nuevo conjunto de patrones.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija String and regex matching.
3. Elija View regex pattern sets.
4. Elija el nombre del conjunto de patrones que desea editar.
5. Elija Edit.
6. Elija la X situada al lado del patrón que desea eliminar.
7. Seleccione Save.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija String and regex matching.
3. Elija View regex pattern sets.
4. Elija el nombre del conjunto de patrones que desea editar.
5. Elija Edit.
6. Escriba un nuevo patrón regex.
7. Elija el signo + situado junto al nuevo patrón.
8. Seleccione Save.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija String and regex matching.
3. Elija el nombre de la condición que tiene el filtro que desea eliminar.
4. Elija la casilla situada junto al filtro que desea eliminar.
5. Elija Delete filter.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elimine el filtro de la condición regex. Consulte Para eliminar un filtro de una condición de coincidencia
de regex existente (p. 166) para obtener instrucciones al respecto).
3. Quite la condición de coincidencia de regex de las reglas que la utilizan:
Para añadir o cambiar un filtro para una condición de coincidencia de regex existente
Solo puede haber un filtro en una condición de coincidencia de regex. Si desea añadir o cambiar el filtro,
debe eliminar primero el filtro existente.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elimine el filtro de la condición regex que desea cambiar. Consulte Para eliminar un filtro de una
condición de coincidencia de regex existente (p. 166) para obtener instrucciones al respecto).
3. En el panel de navegación, elija String and regex matching.
4. Elija el nombre de la condición que desea cambiar.
5. Elija Add filter.
6. Introduzca los valores adecuados para el nuevo filtro y elija Add.
Uso de reglas
Note
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Las reglas permiten abordar directamente las solicitudes web que desea que AWS WAF Classic permita o
bloquee mediante la especificación de las condiciones exactas que desea que AWS WAF Classic controle.
Por ejemplo, AWS WAF Classic puede controlar las direcciones IP de las que proceden las solicitudes,
las cadenas que contienen dichas solicitudes y dónde aparecen dichas cadenas y si es probable que las
solicitudes contengan código SQL malicioso.
Temas
• Creación de una regla y adición de condiciones (p. 167)
• Adición y eliminación de condiciones en una regla (p. 169)
• Eliminación de una regla (p. 170)
• Grupos de reglas de AWS Marketplace (p. 171)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Si añade más de una condición a una regla, una solicitud web debe cumplir todas las condiciones para que
AWS WAF Classic permita o bloquee las solicitudes basándose en dicha regla.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Rules.
3. Elija Create rule.
4. Escriba los siguientes valores:
Nombre
Escriba un nombre.
Nombre de métrica de CloudWatch
Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear y
asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9), con
una longitud máxima de 128 y una longitud mínima de 1. No puede contener espacios en blanco
ni se pueden utilizar nombres de métricas reservados para AWS WAF Classic, como "All" y
"Default_Action".
Tipo de regla
Elija Regular rule o Rate–based rule. Las reglas basadas en frecuencia son idénticas
a las normales, pero también tienen en cuenta el número de solicitudes que proceden de una
dirección IP específica cada cinco minutos. Para obtener más información sobre estos tipos de
regla, consulte Cómo funciona AWS WAF Classic (p. 85).
Límite de frecuencia
Para una regla basada en frecuencia, introduzca el número máximo de solicitudes que desea
permitir en cualquier periodo de cinco minutos desde una dirección IP que coincida con las
condiciones de la regla. El límite de frecuencia debe ser de 100 como mínimo.
Cuando una dirección IP alcanza el umbral del límite de frecuencia, AWS WAF aplica la acción
asignada (bloqueo o recuento) lo más rápido posible, normalmente en un plazo de 30 segundos.
Una vez implementada la acción, si transcurren cinco minutos sin ninguna solicitud de la dirección
IP, AWS WAF restablece el contador a cero.
5. Para añadir una condición a la regla, especifique los siguientes valores:
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de una
condición, elija does (incluye). Por ejemplo, si una condición de coincidencia de IP incluye
el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic permita o bloquee
solicitudes que proceden de direcciones IP, elija does (incluye).
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de lo que queda
fuera de los filtros de una condición, elija does not (excluye). Por ejemplo, si una condición de
coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic
permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija does not (excluye).
Versión de API 2019-07-29
168
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Uso de reglas
coincide/se origina en
Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del tipo
que eligió en el paso anterior.
6. Para añadir otra condición a la regla, elija Add another condition y repita los pasos 4 y 5. Tenga en
cuenta lo siguiente:
• Si añade más de una condición, una solicitud web debe coincidir con al menos un filtro en cada
condición para que AWS WAF Classic permita o bloquee las solicitudes basándose en dicha regla.
• Si añade dos condiciones de coincidencia de IP a la misma regla, AWS WAF Classic solo permitirá
o bloqueará solicitudes que provengan de direcciones IP que aparecen en las condiciones de
coincidencia de IP.
7. Cuando haya terminado de añadir condiciones, seleccione Create.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Rules.
3. Elija el nombre de la regla en la que desea añadir o quitar condiciones.
4. Seleccione Add rule.
5. Para añadir una condición, elija Add condition y especifique los siguientes valores:
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de una
condición, como, por ejemplo, solicitudes web que se originan en el mismo rango de direcciones
IP 192.0.2.0/24, elija does (incluye).
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de lo que queda
fuera de los filtros de una condición, elija does not (excluye). Por ejemplo, si una condición de
coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic
permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija does not (excluye).
coincide/se origina en
Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del tipo
que eligió en el paso anterior.
6. Para quitar una condición, seleccione la X que hay a la derecha del nombre de la condición
7. Elija Update.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Si desea eliminar una regla, primero debe borrar la regla de la ACL web que la utiliza y, a continuación, las
condiciones que incluye la regla.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Para eliminar la regla de las ACL web que la utilizan, siga los pasos siguientes:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic proporciona grupos de reglas de AWS Marketplace para ayudarle a proteger sus
recursos. Los grupos de reglas de AWS Marketplace son conjuntos de reglas predefinidas listas para su
uso que AWS y compañías asociadas a AWS escriben y actualizan.
Algunos grupos de reglas de AWS Marketplace están diseñados para ayudar a proteger determinados
tipos de aplicaciones web como WordPress, Joomla o PHP. Otros grupos de reglas de AWS Marketplace
ofrecen una amplia protección frente a amenazas conocidas o vulnerabilidades de aplicaciones web
comunes, como las que se enumeran en OWASP Top 10.
Puede instalar un único grupo de reglas de AWS Marketplace de su socio de AWS preferido y también
puede añadir sus propias reglas personalizadas de AWS WAF Classic para una mayor protección. Si está
sujeto a la conformidad normativa de PCI o HIPAA, podría utilizar grupos de reglas de AWS Marketplace
para cumplir los requisitos de firewall de las aplicaciones web.
Los grupos de reglas de AWS Marketplace están disponibles sin contratos a largo plazo ni compromisos
mínimos. Si se suscribe a un grupo de reglas, se le cobrará una cuota mensual (prorrateada por hora) y
cuotas continuas de solicitudes en función del volumen. Para obtener más información, consulte Precios de
AWS WAF Classic y la descripción de cada grupo de reglas de AWS Marketplace en AWS Marketplace.
Actualizaciones automáticas
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Los
grupos de reglas de AWS Marketplace le permiten ahorrar tiempo a la hora de implementar y utilizar AWS
WAF Classic. Otra ventaja es que AWS y nuestros socios de AWS actualizan automáticamente los grupos
de reglas de AWS Marketplace cuando aparecen nuevas vulnerabilidades y amenazas.
Muchos de nuestros socios reciben una notificación de nuevas vulnerabilidades antes de su revelación
pública. Pueden actualizar sus grupos de reglas e implementarlos en su cuenta antes de que una nueva
amenaza sea de dominio público. Muchos de ellos también disponen de equipos de investigación de
amenazas que estudian y analizan las últimas amenazas para crear las reglas más pertinentes.
de grupos de reglas, no puede ver las reglas individuales que hay dentro de un grupo de reglas. Esta
restricción también ayuda a impedir que usuarios malintencionados diseñen amenazas que eludan
específicamente las reglas publicadas.
Como no puede ver las reglas individuales de un grupo de reglas de AWS Marketplace, tampoco puede
editarlas. Sin embargo, puede excluir reglas específicas de un grupo de reglas. Esto es lo que se conoce
como "excepción de grupo de reglas". La exclusión de reglas no elimina esas reglas. En su lugar, cambia
la acción de las reglas a COUNT. Por lo tanto, las solicitudes que coinciden con una regla excluida se
recuentan pero no se bloquean. Recibirá métricas COUNT para cada regla excluida.
La exclusión de reglas puede resultar útil a la hora de solucionar problemas de grupos de reglas que
bloquean el tráfico de forma inesperada (falsos positivos). Una técnica de resolución de problemas
consiste en identificar la regla específica del grupo de reglas que está bloqueando el tráfico deseado y, a
continuación, deshabilitar (excluir) esa regla específica.
Además de excluir reglas específicas, para refinar su protección, puede habilitar o deshabilitar grupos
de reglas enteros, así como elegir la acción del grupo de reglas que desea realizar. Para obtener más
información, consulte Uso de los grupos de reglas de AWS Marketplace (p. 172).
Cuotas
Solo puede habilitar un grupo de reglas de AWS Marketplace. También puede habilitar un grupo de
reglas personalizadas que haya creado mediante AWS Firewall Manager. Estos grupos de reglas cuentan
para la cuota máxima de 10 reglas por ACL web. Por lo tanto, puede tener un grupo de reglas de AWS
Marketplace, un grupo de reglas personalizadas y hasta ocho reglas personalizadas en una única ACL
web.
Precios
Para saber los precios de los grupos de reglas de AWS Marketplace, consulte Precios de AWS WAF
Classic y la descripción de cada grupo de reglas de AWS Marketplace en AWS Marketplace.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Marketplace.
3. En la sección Available marketplace products, elija el nombre de un grupo de reglas para ver los
detalles y la información sobre precios.
4. Si desea suscribirse al grupo de reglas, elija Continue.
Note
Si no desea suscribirse a este grupo de reglas, solo tiene que cerrar esta página en su
navegador.
5. Elija Set up your account.
6. Añada el grupo de reglas a una ACL web, como si se tratase de una regla individual. Para obtener
más información, consulte Creación de una ACL web (p. 175) o Edición de una ACL web (p. 179).
Note
Al añadir un grupo de reglas a una ACL web, la acción que define para el grupo de reglas
(No override (No anular) u Override to count [Anular para recuento]) se denomina acción de
anulación del grupo de reglas. Para obtener más información, consulte Anulación de un grupo
de reglas (p. 173).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Quite el grupo de reglas de todas las ACL web. Para obtener más información, consulte Edición de
una ACL web (p. 179).
3. En el panel de navegación, seleccione Marketplace.
4. Elija Manage your subscriptions.
5. Elija Cancel subscription situada junto al nombre del grupo de reglas cuya suscripción desea cancelar.
6. Elija Yes, cancel subscription.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si aún no está habilitado, debe habilitar el registro de AWS WAF Classic. Para obtener más
información, consulte Registro de información del tráfico de la ACL web (p. 184). Utilice los registros
de AWS WAF Classic para identificar los ID de las reglas que desea excluir. Suelen ser reglas que
bloquean solicitudes legítimas.
3. En el panel de navegación, seleccione Web ACLs.
4. Elija la ACL web que desea editar.
Note
El grupo de reglas que desea editar debe estar asociado a una ACL web antes de poder
excluir una regla de ese grupo de reglas.
5. En la pestaña Rules en el panel de la derecha, elija Edit web ACL.
6. En la sección Rule group exceptions (Excepciones de grupo de reglas), expanda el grupo de reglas
que desea editar.
7. Elija la X situada junto a la regla que desea excluir. Puede identificar el ID de regla correcto mediante
los registros de AWS WAF Classic.
8. Elija Update.
La exclusión de reglas no elimina esas reglas del grupo de reglas. En su lugar, cambia la acción de las
reglas a COUNT. Por lo tanto, las solicitudes que coinciden con una regla excluida se recuentan pero
no se bloquean. Recibirá métricas COUNT para cada regla excluida.
Note
Puede utilizar este mismo procedimiento para excluir reglas de grupos de reglas
personalizadas que ha creado en AWS Firewall Manager. Sin embargo, en lugar de excluir
una regla de un grupo de reglas personalizadas con estos pasos, también puede editar
simplemente un grupo de reglas personalizadas con los pasos que se describen en Adición y
eliminación de reglas de un grupo de reglas (p. 234).
grupo. Es decir, si la acción del grupo de reglas está establecida en Override to count, en lugar de bloquear
potencialmente las solicitudes coincidentes en función de la acción de las reglas individuales incluidas en
el grupo, dichas solicitudes se contabilizarán. Por el contrario, si establece la acción del grupo de reglas en
No override, se utilizarán las acciones de las reglas individuales incluidas en el grupo.
1. Excluya las reglas específicas que están bloqueando el tráfico legítimo. Puede identificar las reglas
que bloquean solicitudes con los registros de AWS WAF Classic. Para obtener más información
acerca de cómo excluir reglas, consulte Para excluir una regla de un grupo de reglas (excepción de
grupo de reglas) (p. 173).
2. Si la exclusión de reglas específicas no soluciona el problema, puede cambiar la acción del
grupo de reglas de AWS Marketplace de No override (No anular) a Override to count (Anular para
recuento). Esto permite el paso de la solicitud web, independientemente de las acciones de las reglas
individuales incluidas en el grupo de reglas. Además, le proporciona métricas de Amazon CloudWatch
para el grupo de reglas.
3. Después de establecer la acción del grupo de reglas de AWS Marketplace en Override to count,
póngase en contacto con el equipo de atención al cliente del proveedor del grupo de reglas para
solucionar el problema. Para obtener información de contacto, consulte la lista de grupos de reglas en
las páginas de listas de productos en AWS Marketplace.
Si tiene problemas con AWS WAF Classic o un grupo de reglas administrado por AWS, póngase en
contacto con AWS Support. Si tiene problemas con un grupo de reglas gestionado por un socio de AWS,
póngase en contacto con el equipo de atención al cliente de dicho socio. Para encontrar la información de
contacto de un socio, consulte la lista de socios en AWS Marketplace.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Al añadir reglas a una ACL web, debe especificar si desea que AWS WAF Classic permita o bloquee
las solicitudes en función de las condiciones que incluyen las reglas. Si añade más de una regla a una
ACL web, AWS WAF Classic evalúa cada solicitud en función de las reglas en el orden en que las haya
enumerado en la ACL web. Cuando una solicitud web cumple todas las condiciones de una regla, AWS
WAF Classic realiza inmediatamente la acción correspondiente (—permitir o —bloquear) y no evalúa la
solicitud en función de las reglas restantes en la ACL web, si las hay.
Si una solicitud web no coincide con ninguna de las reglas de una ACL web, AWS WAF Classic realiza
la acción predeterminada que ha especificado para la ACL web. Para obtener más información, consulte
Decisión sobre la acción predeterminada para una ACL web (p. 175).
Si desea probar una regla antes de comenzar a utilizarla para permitir o bloquear solicitudes, puede
configurar AWS WAF Classic para que cuente las solicitudes web que cumplen las condiciones en la regla.
Para obtener más información, consulte Prueba de ACL web (p. 181).
Temas
• Decisión sobre la acción predeterminada para una ACL web (p. 175)
• Creación de una ACL web (p. 175)
• Asociación o desasociación de una ACL web con una API de Amazon API Gateway, una distribución
de CloudFront o un Balanceador de carga de aplicaciones (p. 178)
• Edición de una ACL web (p. 179)
• Eliminación de una ACL web (p. 180)
• Prueba de ACL web (p. 181)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Al crear y configurar una ACL web, la primera y más importante decisión que debe tomar es si la
acción predeterminada debe ser que AWS WAF Classic permita o bloquee solicitudes web. La acción
predeterminada indica qué desea que haga AWS WAF Classic después de inspeccionar todas las
condiciones que especifique de una solicitud web y si la solicitud web no coincide con ninguna de las
condiciones:
• Permitir–: si desea permitir que la mayoría de los usuarios pueda obtener acceso a su sitio web, pero
desea bloquear el acceso a atacantes cuyas solicitudes provienen de direcciones IP específicas o cuyas
solicitudes parecen contener código SQL malicioso o valores específicos, elija Allow como la acción
predeterminada.
• Bloquear–: si desea evitar que la mayoría de posibles usuarios obtenga acceso a su sitio web, pero
desea permitir el acceso a los usuarios cuyas solicitudes provienen de direcciones IP específicas o
cuyas solicitudes contienen valores específicos, elija Block como la acción predeterminada.
Muchas decisiones que se toman después de haber escogido una acción predeterminada dependen de
si se desea permitir o bloquear la mayoría de solicitudes web. Por ejemplo, si desea permitir la mayoría
de las solicitudes, entonces las condiciones de coincidencia que cree en general deberían incluir las
solicitudes web que desea bloquear, como las siguientes:
• Las solicitudes que provengan de direcciones IP que realizan un número excesivo de solicitudes
• Las solicitudes que proceden de países en los que no opera o que con frecuencia son origen de ataques
• Las solicitudes que incluyen valores falsos en el encabezado User-Agent
• Las solicitudes que parecen incluir código SQL malicioso
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si es la primera vez que utiliza AWS WAF Classic, elija Go to AWS WAF Classic (Ir a AWS WAF
Classic) y, a continuación, Configure Web ACL (Configurar ACL web). Si ya ha utilizado AWS WAF
Classic antes, seleccione Web ACLs (ACL web) en el panel de navegación y, a continuación, elija
Create web ACL (Crear ACL web).
3. En Web ACL name (Nombre de ACL web), escriba un nombre.
Note
Si todavía no ha creado las condiciones, hágalo ahora. Para obtener más información, consulte los
siguientes temas:
Nombre
Escriba un nombre.
Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear
y asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9),
con una longitud máxima de 128 y una longitud mínima de 1. No puede contener espacios en
blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF Classic, como
"All" y "Default_Action".
Note
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de
una condición, como, por ejemplo, solicitudes web que se originan en el mismo rango de
direcciones IP 192.0.2.0/24, elija does (incluye).
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de lo que queda
fuera de los filtros de una condición, elija does not (excluye). Por ejemplo, si una condición
de coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF
Classic permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija does
not (excluye).
coincide/se origina en
Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del
tipo que eligió en la lista anterior.
d. Para añadir otra condición a la regla, elija Add another condition (Agregar otra condición) y, a
continuación, repita los pasos b y c. Tenga en cuenta lo siguiente:
• Si añade más de una condición, una solicitud web debe coincidir con al menos un filtro en cada
condición para que AWS WAF Classic
Versión permita o bloquee las solicitudes basándose en dicha
de API 2019-07-29
regla. 177
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Uso de ACL web
• Si añade dos condiciones de coincidencia de IP a la misma regla, AWS WAF Classic solo
permitirá o bloqueará solicitudes que provengan de direcciones IP que aparecen en las
condiciones de coincidencia de IP.
e. Repita el paso 9 hasta que haya creado todas las reglas que desea añadir a esta ACL web.
f. Seleccione Create.
g. Continúe con el paso 10.
10. Para cada regla o grupo de reglas de la ACL web, elija el tipo de administración que desea que
proporcione AWS WAF Classic, como se indica a continuación:
• Para cada regla, elija si desea que AWS WAF Classic permita, bloquee o cuente solicitudes web en
función de las condiciones de la regla:
• Allow (Permitir): API Gateway, CloudFront o un Balanceador de carga de aplicaciones responde
con el objeto solicitado. En el caso de CloudFront, si el objeto no está en la caché perimetral,
CloudFront reenvía la solicitud al origen.
• Block (Bloquear): API Gateway, CloudFront o un Balanceador de carga de aplicaciones responde
a la solicitud con un código de estado HTTP 403 (Prohibido). CloudFront también puede
responder a una página de error personalizada. Para obtener más información, consulte Uso de
AWS WAF Classic con páginas de error personalizadas de CloudFront (p. 189).
• Count (Recuento): – AWS WAF Classic incrementa un recuento de solicitudes que cumple las
condiciones de la regla y, a continuación, sigue inspeccionando la solicitud web según las reglas
restantes en la ACL web.
Para obtener más información acerca de cómo utilizar Count (Recuento) para probar una ACL
web antes de comenzar a utilizarla para permitir o bloquear solicitudes web, consulte Recuento de
las solicitudes web que coinciden con las reglas en una ACL web (p. 181).
• Para cada grupo de reglas, establezca la acción de anulación para el grupo de reglas:
• No override (Sin invalidación): hace que se utilicen las acciones de las reglas individuales del
grupo de reglas.
• Override to count (Anular para recuento): anula las acciones de bloque especificadas por reglas
individuales del grupo, de modo que todas las solicitudes coincidentes solo se contabilizan.
Para obtener más información, consulte Anulación de un grupo de reglas (p. 173).
11. Si quiere cambiar el orden de las reglas en la ACL web, utilice las flechas de la columna Order
(Columna). AWS WAF Classic inspecciona solicitudes web en función del orden en el que aparecen
las reglas en la ACL web.
12. Si desea eliminar una regla que ha añadido a la ACL web, elija la x de la fila de la regla.
13. Elija la acción predeterminada para ACL web. Esta es la acción que AWS WAF Classic realiza
cuando una solicitud web no cumple con ninguna de las condiciones de las reglas de esta ACL web.
Para obtener más información, consulte Decisión sobre la acción predeterminada para una ACL
web (p. 175).
14. Elija Review and create.
15. Revise la configuración de la ACL web y elija Confirm and create.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Para asociar o desasociar una ACL web, siga el procedimiento aplicable. Tenga en cuenta que también
puede asociar una ACL web con una distribución de CloudFront al crear o actualizar la distribución. Para
obtener más información, consulte Uso de AWS WAF Classic para controlar el acceso a su contenido en la
Guía para desarrolladores de Amazon CloudFront.
• Las ACL web asociadas a una instancia de Balanceador de carga de aplicaciones solo se pueden
asociar a otra instancia de Balanceador de carga de aplicaciones de la misma región. Lo mismo sucede
para las API de API Gateway.
• Las ACL web asociadas a una distribución de CloudFront no se pueden asociar a un Balanceador de
carga de aplicaciones. Sin embargo, la ACL web puede asociarse a otras distribuciones de CloudFront.
• Cada API de API Gateway, Balanceador de carga de aplicaciones y distribución de CloudFront solo se
puede asociar a una sola ACL web.
Para asociar una ACL web a una API de API Gateway distribución de CloudFront o a un
Balanceador de carga de aplicaciones
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Elija la ACL web que desea asociar a una API de API Gateway, una distribución de CloudFront o a un
Balanceador de carga de aplicaciones.
4. En la pestaña Rules, en la sección AWS resources using this web ACL, elija Add association.
5. Cuando se le indique, use la lista Resource (Recurso) para elegir la API de API Gateway, una
distribución de CloudFront o un Balanceador de carga de aplicaciones a la que asociará la ACL web.
Si elige un Balanceador de carga de aplicaciones, también debe especificar una región.
6. Elija Add.
7. Para asociar la ACL web a una API de API Gateway, una distribución de CloudFront o a otro
Balanceador de carga de aplicaciones adicionales, repita los pasos del 4 al 6.
Para desasociar una ACL web de una API de API Gateway, una distribución de CloudFront o de
un Balanceador de carga de aplicaciones
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Elija la ACL web que desea desasociar de una API de API Gateway, una distribución de CloudFront o
de un Balanceador de carga de aplicaciones.
4. En la pestaña Rules (Reglas), en AWS resources using this web ACL (Recursos de AWS que utilizan
esta ACL web), elija la x de cada API de API Gateway, distribución de CloudFront o Balanceador de
carga de aplicaciones que desee desvincular de esta ACL web.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Para añadir o eliminar reglas de una ACL web o cambiar la acción predeterminada, siga el siguiente
procedimiento.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Elija la ACL web que desea editar.
4. En la pestaña Rules en el panel de la derecha, elija Edit web ACL.
5. Para añadir reglas a la ACL web, siga los siguientes pasos:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Para eliminar una ACL web, debe eliminar las reglas que se incluyen en la ACL web y desvincular todas
las distribuciones de CloudFront y las instancias de Application Load Balancer de la ACL web. Realice el
siguiente procedimiento.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Web ACLs.
3. Elija la ACL web que desea eliminar.
4. En la pestaña Rules en el panel de la derecha, elija Edit web ACL.
5. Para eliminar todas las reglas de la ACL web, elija la x a la derecha de la fila de cada regla. Esto no
elimina las reglas de AWS WAF Classic, solo las elimina de esta ACL web.
6. Elija Update (Actualizar).
7. Desvincule la ACL web de todas las distribuciones de CloudFront y las instancias de Application
Load Balancer. En la pestaña Rules (Reglas), en AWS resources using this web ACL (Recursos de
AWS que usan esta ACL web), elija la x para cada API de API Gateway, distribución de CloudFront o
Balanceador de carga de aplicaciones.
8. En la página Web ACLs (ACL web), confirme que la ACL web que desea eliminar esté seleccionada y,
a continuación, elija Delete (Eliminar).
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Para asegurarse de que no configura AWS WAF Classic de forma accidental para bloquear solicitudes
web que desea permitir y también de que no permite solicitudes que desea bloquear, recomendamos que
pruebe su ACL web minuciosamente antes de comenzar a usarla en su sitio o aplicación web.
Temas
• Recuento de las solicitudes web que coinciden con las reglas en una ACL web (p. 181)
• Visualización de una muestra de las solicitudes web que API Gateway, CloudFront o un Balanceador
de carga de aplicaciones ha reenviado a AWS WAF Classic (p. 183)
Recuento de las solicitudes web que coinciden con las reglas en una ACL web
Al añadir reglas a una ACL web, está especificando si desea que AWS WAF Classic permita, bloquee o
cuente las solicitudes web que coinciden con todas las condiciones de esa regla. Recomendamos que
empiece con la siguiente configuración:
• Configurar todas las reglas de una ACL web para contar solicitudes web
• Establecer la acción predeterminada para que la ACL web permita las solicitudes
En esta configuración, AWS WAF Classic inspecciona cada solicitud web en función de las condiciones
de la primera regla. Si la solicitud web coincide con todas las condiciones de la regla, AWS WAF Classic
incrementa un contador para esa regla. A continuación, AWS WAF Classic inspecciona la solicitud web en
función de las condiciones de la siguiente regla. Si la solicitud web coincide con todas las condiciones de
la regla, AWS WAF Classic incrementa un contador para la regla. Esto continuará hasta que AWS WAF
Classic haya inspeccionado la solicitud en función de las condiciones de todas sus reglas.
Una vez que haya configurado todas las reglas de una ACL web para contar solicitudes y haya asociado
la ACL web a una API de Amazon API Gateway, distribución de CloudFront o Balanceador de carga de
aplicaciones, podrá ver los recuentos resultantes en un gráfico de Amazon CloudWatch. En el caso de
cada una de las reglas de una ACL web y de todas las solicitudes que API Gateway, CloudFront o un
Balanceador de carga de aplicaciones reenvía a AWS WAF Classic para una ACL web, CloudWatch le
permite:
• Ver los datos correspondientes a la hora anterior o a las tres horas anteriores
• Cambiar el intervalo entre puntos de datos
• Cambiar el cálculo que realiza CloudWatch sobre los datos, como máximo, mínimo, media o suma
Note
AWS WAF Classic con CloudFront es un servicio global y las métricas están disponibles solo
cuando elige la región EE. UU. Este (Norte de Virginia) en la consola de AWS. Si elige otra región,
no aparecerá ninguna métrica de AWS WAF Classic en la consola de CloudWatch.
Estadística
Elija si desea ver los datos correspondientes a la hora anterior o a las tres horas anteriores.
Período
• Si acaba de asociar una ACL web con una API de API Gateway, una distribución de CloudFront
o Balanceador de carga de aplicaciones, es posible que tenga que esperar unos minutos para
que aparezcan los datos en el gráfico y para que aparezca la métrica de la ACL web en la lista de
métricas disponibles.
• Si asocia más de una API de API Gateway, distribución de CloudFront o Balanceador de carga de
aplicaciones con una ACL web, los datos de CloudWatch incluirán todas las solicitudes de todas las
distribuciones asociadas a la ACL web.
• Puede colocar el cursor del ratón sobre un punto de datos para obtener más información.
• El gráfico no se actualiza por su cuenta de forma automática. Para actualizar la pantalla, elija el
icono de actualización ( ).
5. (Opcional) Vea información detallada acerca de las solicitudes individuales que API Gateway,
CloudFront o un Balanceador de carga de aplicaciones ha reenviado a AWS WAF Classic. Para
obtener más información, consulte Visualización de una muestra de las solicitudes web que API
Gateway, CloudFront o un Balanceador de carga de aplicaciones ha reenviado a AWS WAF
Classic (p. 183).
6. Si determina que una regla está interceptando solicitudes que no desea interceptar, cambie la
configuración aplicable. Para obtener más información, consulte Creación y configuración de una lista
de control de acceso web (ACL web) (p. 135).
Cuando crea que todas sus reglas interceptan solo las solicitudes correctas, cambie la acción de
cada una de sus reglas a Allow o Block. Para obtener más información, consulte Edición de una ACL
web (p. 179).
Versión de API 2019-07-29
182
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Uso de ACL web
La muestra de solicitudes contiene hasta 100 solicitudes que coincidieron con todas las condiciones de
cada regla y otras 100 solicitudes para la acción predeterminada, que se aplica a las solicitudes que no
coincidieron con todas las condiciones de cada regla. Las solicitudes del ejemplo vienen de todas las
API de API Gateway, ubicaciones de borde de CloudFront o instancias de balanceadores de carga de
aplicaciones que han recibido solicitudes de su contenido en los 15 minutos anteriores.
Para ver una muestra de las solicitudes web que API Gateway, CloudFront o un Balanceador de
carga de aplicaciones ha reenviado a AWS WAF Classic
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, elija la ACL web cuyas solicitudes quiera ver.
3. En el panel de la derecha, elija la pestaña Requests.
En la tabla Sampled requests se muestran los siguientes valores para cada solicitud:
IP de origen
Identifica la primera regla de la ACL web para la que la solicitud web coincidió con todas las
condiciones. Si una solicitud web no coincide con todas las condiciones de cada regla de la ACL
web, el valor de Matches rule es Default.
Tenga en cuenta que si una solicitud web coincide con todas las condiciones de una regla y la
acción de esa regla es Count (Recuento), AWS WAF Classic continúa inspeccionando la solicitud
web en función de las reglas posteriores de la ACL web. En este caso, una solicitud web podría
aparecer dos veces en la lista de solicitudes muestreadas: una para la regla que tiene una acción
de Count y otra vez para una regla posterior o para la acción predeterminada.
Acción
La hora a la que AWS WAF Classic ha recibido la solicitud de API Gateway, CloudFront o su
Balanceador de carga de aplicaciones.
4. Para mostrar información adicional acerca de la solicitud, elija la flecha del lado izquierdo de la
dirección IP de esa solicitud. AWS WAF Classic muestra la siguiente información:
IP de origen
El código de país de dos letras del país desde el que se originó la solicitud. Si el espectador ha
usado un proxy HTTP o un Balanceador de carga de aplicaciones para enviar la solicitud, este es
el código de país de dos letras del país en el que se encuentra el proxy HTTP o un Balanceador
de carga de aplicaciones.
Para obtener una lista de códigos de país de dos letras y los nombres de los países
correspondientes, consulte la entrada de Wikipedia ISO 3166-1 alpha-2.
Método
El método de solicitud HTTP para la solicitud: GET, HEAD, OPTIONS, PUT, POST, PATCH, o bien
DELETE.
URI
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Puede habilitar el registro para obtener información detallada sobre el tráfico que analiza su ACL web. En
la información incluida en los registros se incluye la hora a la que AWS WAF Classic recibió la solicitud de
su recurso de AWS, información detallada sobre la solicitud y la acción para la regla con la que coincidía
cada solicitud.
Para empezar, configure una instancia de Amazon Kinesis Data Firehose. Como parte de ese proceso,
elija un destino para almacenar sus registros. A continuación, elija la ACL web para la que desea habilitar
el registro. Después de habilitar el registro, AWS WAF ofrece registros a través de Firehose a su destino
de almacenamiento. Para obtener información sobre cómo crear una instancia de Amazon Kinesis y revisar
los registros almacenados, consulte ¿Qué es Amazon Kinesis Data Firehose?
• iam:CreateServiceLinkedRole
• firehose:ListDeliveryStreams
• waf:PutLoggingConfiguration
Para obtener más información acerca de los roles vinculados a servicios y el permiso
iam:CreateServiceLinkedRole, consulte Uso de funciones vinculadas a servicios en AWS WAF
Classic (p. 212).
1. Cree una instancia de Amazon Kinesis Data Firehose con un nombre que empiece con el prefijo
"aws-waf-logs-". Por ejemplo, aws-waf-logs-us-east-2-analytics. Cree la instancia de
Data Firehose con un origen PUT y en la región en la que opera. Si captura registros para Amazon
CloudFront, cree la instancia de Firehose en US East (N. Virginia). Para obtener más información,
consulte Creación de un Amazon Kinesis Data Firehose flujo de entrega.
Important
Al habilitar el registro correctamente, AWS WAF Classic creará un rol vinculado al servicio
con los permisos necesarios para escribir registros en la instancia de Amazon Kinesis Data
Firehose. Para obtener más información, consulte Uso de funciones vinculadas a servicios en
AWS WAF Classic (p. 212).
"timestamp":1533689070589,
"formatVersion":1,
"webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590",
"terminatingRuleId":"Default_Action",
"terminatingRuleType":"REGULAR",
"action":"ALLOW",
"httpSourceName":"CF",
"httpSourceId":"i-123",
"ruleGroupList":[
{
"ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3",
"terminatingRule":null,
"nonTerminatingMatchingRules":[
{"action" : "COUNT",
"ruleId" : "4659b169-2083-4a91-
bbd4-08851a9aaf74"}
]
"excludedRules": [
{"exclusionType" :
"EXCLUDED_AS_COUNT",
"ruleId" : "5432a230-0113-5b83-
bbb2-89375c5bfa98"}
]
}
],
"rateBasedRuleList":[
{
"rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f",
"limitKey":"IP",
"maxRateAllowed":100
},
{
"rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30",
"limitKey":"IP",
"maxRateAllowed":100
}
],
"nonTerminatingMatchingRules":[
{"action" : "COUNT",
"ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"}
],
"httpRequest":{
"clientIp":"192.10.23.23",
"country":"US",
"headers":[
{
"name":"Host",
"value":"127.0.0.1:1989"
},
{
"name":"User-Agent",
"value":"curl/7.51.2"
},
{
"name":"Accept",
"value":"*/*"
}
],
"uri":"REDACTED",
"args":"usernam=abc",
"httpVersion":"HTTP/1.1",
"httpMethod":"GET",
"requestId":"cloud front Request id"
}
}
timestamp
El tipo de regla que terminó la solicitud. Valores posibles: RATE_BASED, REGULAR y GROUP.
action
La acción. Valores posibles para una regla de terminación: ALLOW y BLOCK. COUNT no es un valor
válido para una regla de terminación.
httpSourceName
El origen de la solicitud. Valores posibles: CF (si el origen es Amazon CloudFront), APIGW (si el origen
es Amazon API Gateway) y ALB (si el origen es un Balanceador de carga de aplicaciones).
httpSourceId
La lista de grupos de reglas que actuaron en esta solicitud. En el ejemplo de código anterior, solo
aparece uno.
ruleGroupId
La regla del grupo de reglas que terminó la solicitud. Si este es un valor distinto de NULL, también
contiene un ruleid (id de regla) y una action (acción). En este caso, la acción siempre es BLOCK.
nonTerminatingMatchingRules
La lista de reglas del grupo de reglas que coinciden con la solicitud. Siempre son reglas COUNT
(reglas coincidentes que no son de terminación).
acción (grupo nonTerminatingMatchingRules)
El ID de la regla del grupo de reglas que coincide con la solicitud y no era de terminación. Es decir,
reglas COUNT.
excludedRules
La lista de reglas del grupo de reglas que ha excluido. La acción para estas reglas se establece en
COUNT.
exclusionType (excludedRules group)
El campo que usa AWS WAF para determinar si es probable que las solicitudes lleguen de una única
fuente y, por tanto, estén sujetas a la monitorización de frecuencia. Valor posible: IP.
maxRateAllowed
El número máximo de solicitudes, que tienen un valor idéntico en el campo especificado por
limitKey, permitido en un periodo de cinco minutos. Si el número de solicitudes supera el valor de
maxRateAllowed y los otros predicados especificados en la regla también se cumplen, AWS WAF
desencadena la acción que se especifica para esta regla.
httpRequest
La lista de encabezados.
uri
El URI de la solicitud. En el ejemplo de código anterior se muestra cuál sería el valor si este campo se
hubiera ocultado.
args
La cadena de consulta.
httpVersion
La versión de HTTP.
httpMethod
El ID de la solicitud.
AWS WAF Classic proporciona una lista de direcciones IP que están bloqueadas por reglas basadas en
frecuencia.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, seleccione Rules.
3. En la columna Name, elija una regla basada en frecuencia.
Cuando se crea una ACL web, puede especificar una o más distribuciones de CloudFront que desea
que AWS WAF Classic inspeccione. AWS WAF Classic empieza a permitir, bloquear o contar solicitudes
web para las distribuciones en función de las condiciones que se identifique en la web ACL. CloudFront
proporciona algunas características que mejoran la funcionalidad de AWS WAF Classic. Este capítulo
describe algunas formas de configurar CloudFront para hacer que CloudFront y AWS WAF Classic
funcionen mejor unidos.
Temas
• Uso de AWS WAF Classic con páginas de error personalizadas de CloudFront (p. 189)
• Uso de AWS WAF Classic con restricción geográfica de CloudFront (p. 190)
• Uso de AWS WAF Classic con CloudFront para aplicaciones que se ejecutan en su propio servidor
HTTP (p. 190)
• Elección de los métodos HTTP a los que CloudFront responde (p. 191)
Si prefiere mostrar un mensaje de error personalizado, utilizando el mismo formato que el resto de su sitio
web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que
contenga el mensaje de error personalizado.
Note
CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno
devuelto por AWS WAF Classic cuando se bloquea una solicitud. Esto significa que no puede
devolver diferentes páginas de error personalizadas en función de las diferentes causas de un
código de estado HTTP 403.
Para obtener más información sobre las páginas de error personalizadas de CloudFront, consulte
Personalización de respuestas de error en la Guía para desarrolladores de Amazon CloudFront.
Puede ver el código de dos letras del país en el que se originan las solicitudes mediante
la plantilla de solicitudes web de una ACL web. Para obtener más información, consulte
Visualización de una muestra de las solicitudes web que API Gateway, CloudFront o un
Balanceador de carga de aplicaciones ha reenviado a AWS WAF Classic (p. 183).
Para obtener más información sobre la restricción geográfica de CloudFront, consulte Restricción de la
distribución geográfica de su contenido en la Guía para desarrolladores de Amazon CloudFront.
Para exigir HTTPS entre CloudFront y su propio servidor web, puede utilizar la característica de origen
personalizado de CloudFront y configurar la política de protocolo de origen y la configuración de nombre
de dominio de origen para orígenes específicos. En la configuración de CloudFront, puede especificar
Para exigir HTTPS entre los visores y CloudFront, puede cambiar la política de protocolo de visor para
uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información
acerca del uso de HTTPS entre visores y CloudFront, consulte el tema Exigir HTTPS para la comunicación
entre visores y CloudFront en la Guía para desarrolladores de Amazon CloudFront. También puede traer
su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través
de HTTPS utilizando su propio nombre de dominio, por ejemplo https://www.mysite.com. Para obtener
más información, consulte el tema Configurar nombres de dominio alternativos y HTTPS en la Guía para
desarrolladores de Amazon CloudFront.
• GET, HEAD–: puede usar CloudFront solo para obtener los objetos desde su origen u obtener
encabezados de objeto.
• GET, HEAD, OPTIONS–: puede utilizar CloudFront solo para obtener objetos del origen, obtener
encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.
• GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE–: puede utilizar CloudFront para obtener,
agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede
realizar otras operaciones de POST como enviar datos desde un formulario web.
También puede utilizar condiciones de coincidencia de cadena AWS WAF Classic para permitir o bloquear
solicitudes en función del método HTTP, como se describe en Uso de condiciones de coincidencia de
cadena (p. 156). Si desea utilizar una combinación de métodos admitidos por CloudFront, como GET y
HEAD, no es necesario configurar AWS WAF Classic para bloquear las solicitudes que utilizan los demás
métodos. Si desea permitir una combinación de métodos no admitidos por CloudFront, como GET, HEAD
y POST, puede configurar CloudFront para responder a todos los métodos y, a continuación, utilizar AWS
WAF Classic para bloquear solicitudes que utilicen otros métodos.
Para obtener más información acerca de la elección de los métodos a los que responde CloudFront,
consulte Métodos HTTP permitidos en el tema Valores que especifica al crear o actualizar una distribución
web en la Guía para desarrolladores de Amazon CloudFront.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una
arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de las
organizaciones más exigentes.
Temas
• Protección de los datos en AWS WAF Classic (p. 192)
• Identity and Access Management en AWS WAF Classic (p. 193)
• Registro y monitorización en AWS WAF Classic (p. 215)
• Validación de la conformidad para AWS WAF Classic (p. 216)
• Resistencia en AWS WAF Classic (p. 216)
• Seguridad de la infraestructura en AWS WAF Classic (p. 217)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic cumple los requisitos del modelo de responsabilidad compartida de AWS, que
incluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger la
infraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datos
alojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamiento
del contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúan
como controladores o procesadores de datos, son responsables de todos los datos personales que
colocan en la nube de AWS.
— Entidades de AWS WAF Classic, como ACL de web, reglas y condiciones, se cifran en reposo, excepto
en determinadas regiones donde el cifrado no está disponible, incluida China (Pekín) y China (Ningxia).—
Para cada región se utilizan claves de cifrado únicas.
Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS y
configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que
a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. También
le recomendamos proteger sus datos de las siguientes formas:
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo
de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
El acceso a AWS WAF Classic requiere credenciales. Estas credenciales deben tener permisos para
acceder a los recursos de AWS como, por ejemplo, un recurso AWS WAF Classic o un bucket de Amazon
S3. En las siguientes secciones se incluye información detallada acerca de cómo usar AWS Identity and
Access Management (IAM) y AWS WAF Classic para ayudar a proteger el acceso a sus recursos.
Autenticación
Puede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS: Cuando se crea por primera vez una cuenta de AWS, se comienza
con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos
de AWS de la cuenta. Esta identidad recibe el nombre de AWS de la cuenta de usuario raíz y se obtiene
acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para
crear la cuenta. Le recomendamos que no utilice usuario raíz en sus tareas cotidianas, ni siquiera
en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar
exclusivamente usuario raíz para crear el primer usuario de IAM. A continuación, guarde las credenciales
de usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración de
cuentas y servicios.
• Usuario de IAM: –un usuario de IAM es una identidad dentro de una cuenta de AWS que tiene permisos
personalizados específicos (por ejemplo, permisos para crear un a rule en AWS WAF Classic). Puede
utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras
de AWS, como la Consola de administración de AWS, los foros de debate de AWS o el AWS Support
Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para
cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación,
ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y
las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza
las herramientas de AWS, debe firmar usted mismo la solicitud. AWS WAF Classic supports Signature
Version 4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información
acerca de la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS
General Reference.
• Rol de IAM–: Los roles de IAM de Un rol de IAM es una identidad de IAM con permisos específicos
que puede crear en su cuenta. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una
identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no en
AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier
usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo
plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este
proporciona credenciales de seguridad temporales para la sesión de rol. con credenciales temporales
son útiles en las siguientes situaciones:
• Acceso de usuarios federados: – En lugar de crear un usuario de IAM, puede utilizar identidades
existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de
identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a
un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener
más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del
usuario de IAM.
• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizar
acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,
debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos que
son necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles de
servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando
se cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solo
dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede
crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permita
a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar
los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte
Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: – Puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan
solicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves de
acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición
de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia
contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales
Versión de API 2019-07-29
194
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Identity and Access Management
temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a
aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de acceso
Aunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear los
recursos de AWS WAF Classic ni obtener acceso a ellos. Por ejemplo, debe tener permisos para crear una
ACL web o una regla de AWS WAF Classic.
En las secciones siguientes, se describe cómo administrar los permisos de AWS WAF Classic. Le
recomendamos que lea primero la información general.
• Información general acerca de la administración de los permisos de acceso a los recursos de AWS WAF
Classic (p. 195)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF Classic (p. 200)
• Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y
condiciones (p. 204)
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic se integra con AWS Identity and Access Management (IAM), un servicio que permite a
su organización hacer lo siguiente:
Por ejemplo, puede utilizar IAM con AWS WAF Classic para controlar qué usuarios de su cuenta de AWS
pueden crear una ACL web nueva.
Para obtener más información general sobre IAM, consulte la siguiente documentación:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Cada recurso de AWS es propiedad de una cuenta de AWS, y los permisos para crear o tener acceso a
un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticas
de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios también
permiten asociar políticas de permisos a recursos.
Note
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen
permisos y qué operaciones específicas desea permitir en esos recursos.
Temas
• Recursos y operaciones de AWS WAF Classic (p. 196)
• Titularidad de los recursos (p. 197)
• Administración del acceso a los recursos (p. 197)
• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 199)
• Especificación de las condiciones de una política (p. 199)
Estos recursos y condiciones tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y
como se muestra en la siguiente tabla:
condición de SqlInjectionMatchSet
arn:aws:waf::account:sqlinjectionset/
coincidencia de ID
inyección de
código SQL
Condición de SizeConstraintSet
arn:aws:waf::account:sizeconstraintset/
restricción de ID
tamaño
Para permitir o denegar el acceso a un subconjunto de recursos de AWS WAF Classic, incluya el ARN
del recurso en el elemento resource de la política. Los ARN de AWS WAF Classic tienen el siguiente
formato:
arn:aws:waf::account:resource/ID
Sustituya las variables account, resource e ID por valores válidos. Los valores válidos pueden ser los
siguientes:
Por ejemplo, los siguientes ARN especifican todas las ACL web de la cuenta 111122223333:
arn:aws:waf::111122223333:webacl/*
Para obtener más información, consulte Recursos en la Guía del usuario de IAM.
AWS WAF Classic proporciona un conjunto de operaciones para trabajar con recursos de AWS WAF
Classic. Para obtener una lista de operaciones disponibles, consulte Acciones.
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de AWS WAF
Classic, su cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de AWS
WAF Classic, el usuario podrá crear un recurso de AWS WAF Classic. Sin embargo, su cuenta de AWS,
a la que pertenece el usuario, será la propietaria del recurso de AWS WAF Classic.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de AWS WAF Classic,
cualquier persona que pueda asumir el rol podrá crear un recurso de AWS WAF Classic. Sin embargo,
su cuenta de AWS, a la que pertenece el rol, será la propietaria del recurso de AWS WAF Classic.
y descripciones de las políticas de IAM, consulte Referencia de políticas de AWS IAM en la Guía
del usuario de IAM.
Las políticas de IAM asociadas a una identidad de IAM se conocen como políticas basadas en identidad y
las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS WAF Classic
solo admite políticas basadas en identidad.
Temas
Si desea obtener más información sobre el uso de IAM para delegar permisos, consulte Administración
de accesos en la Guía del usuario de IAM.
A continuación, se muestra un ejemplo de política que concede permisos para la acción waf:ListRules
en todos los recursos. En la implementación actual, AWS WAF Classic no es compatible con la
identificación de recursos concretos mediante los ARN de los recursos (también conocidos como permisos
en el nivel de recursos) en algunas de las acciones de la API, por lo que deberá utilizar un comodín (*):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListRules",
"Effect": "Allow",
"Action": [
"waf:ListRules"
],
"Resource": "*"
}
]
}
Para obtener más información acerca del uso de políticas basadas en identidad con AWS WAF Classic,
consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF Classic (p. 200).
Para obtener más información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades
(usuarios, grupos y roles) en la Guía del usuario de IAM.
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por
ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho
bucket. AWS WAF no admite políticas basadas en recursos.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso
al que se aplican. Para obtener más información, consulte Recursos y operaciones de AWS WAF
Classic (p. 196).
• Acción – utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir
o denegar. Por ejemplo, con el permiso waf:CreateRule, los usuarios pueden realizar la operación
CreateRule de AWS WAF Classic.
• Efecto–: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se
puede permitir o denegar. Si no concede acceso de forma explícita (o permite) un recurso, el acceso se
deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse
de que un usuario no pueda tener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: – en las políticas basadas en identidad (políticas de IAM), el usuario al que se asocia
esta política es la entidad principal implícita. AWS WAF no admite las políticas basadas en recursos.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte
Referencia de políticas de AWS IAM en la Guía del usuario de IAM.
Para ver una tabla de todas las acciones de la API de AWS WAF Classic y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y
condiciones (p. 204).
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición
específicas para AWS WAF Classic. No obstante, existen claves de condición que se aplican a todo AWS
que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte
Claves disponibles para condiciones en la Guía del usuario de IAM.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
En esta sección se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un
administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios,
grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de AWS WAF
Classic.
Important
Le recomendamos que consulte primero los temas de introducción en los que se explican los
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de
AWS WAF Classic. Para obtener más información, consulte Información general acerca de la
administración de los permisos de acceso a los recursos de AWS WAF Classic (p. 195).
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateFunctionPermissions",
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:ListRules",
"waf:GetWebACL",
"waf:GetRule",
"cloudwatch:ListMetrics",
"waf:GetSampledRequests"
],
"Resource": "*"
},
{
"Sid": "PermissionToPassAnyRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/*"
}
]
}
• La primera declaración concede permisos para consultar las estadísticas de las ACL web de AWS
WAF Classic, mediante las acciones waf:ListWebACLs, waf:ListRules, waf:GetWebACL,
Para ver una tabla de todas las acciones de la API de AWS WAF Classic y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y
condiciones (p. 204).
Temas
• Permisos necesarios para usar la consola de AWS WAF Classic (p. 201)
• Políticas administradas (predefinidas) por AWS para AWS WAF Classic (p. 201)
• Ejemplos de políticas administradas por el cliente (p. 202)
Las siguientes políticas administradas de AWS, que puede asociar a los usuarios de su cuenta, son
específicas de AWS WAF Classic y se agrupan según los escenarios de caso de uso:
• AWSWAFReadOnlyAccess: – concede acceso de solo lectura a los recursos de AWS WAF Classic.
• AWSWAFFullAccess: – concede acceso completo a los recursos de AWS WAF Classic.
Note
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las
políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos para
operaciones y recursos de API de AWS WAF Classic. Puede asociar estas políticas personalizadas a los
usuarios o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles de
IAM) que crea para sus recursos de AWS WAF Classic.
Puede utilizar la consola para comprobar los efectos de cada política a medida que asocia la política
al usuario. En un primer momento, como el usuario no tiene permisos, no puede hacer nada más en la
consola. Cuando asocia políticas al usuario, puede comprobar que el usuario puede realizar diversas
operaciones en la consola.
Le recomendamos que utilice dos ventanas del navegador: una para crear el usuario y concederle
permisos y otra para iniciar sesión en la Consola de administración de AWS con las credenciales de
usuario y comprobar los permisos a medida que se los concede al usuario.
Para ver ejemplos que ilustran cómo crear un rol de IAM que puede utilizar como rol de ejecución en el
recurso de AWS WAF Classic, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF Classic, CloudFront y
CloudWatch (p. 202)
• Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF Classic, CloudFront y
CloudWatch (p. 203)
• Ejemplo 3: Conceder acceso a una cuenta de AWS determinada (p. 203)
• Ejemplo 4: Conceder acceso a una ACL determinada (p. 204)
En primer lugar, cree un usuario de IAM, añádalo a un grupo de IAM con permisos administrativos y, a
continuación, conceda permisos administrativos al usuario de IAM que ha creado. Ahora, puede acceder a
AWS mediante una URL especial y las credenciales de usuario.
Para obtener instrucciones, consulte Creación del primer grupo de usuarios y administradores de IAM en la
Guía del usuario de IAM.
Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF Classic, CloudFront y
CloudWatch
La siguiente política concede a los usuarios acceso de solo lectura a los recursos de AWS WAF Classic,
a las distribuciones web de Amazon CloudFront y a las métricas de Amazon CloudWatch. Resulta muy
útil para los usuarios que necesitan permiso para ver la configuración de las condiciones, reglas y ACL
web de AWS WAF Classic para comprobar que la distribución se asocia a una ACL web y monitorizar
las métricas y una muestra de solicitudes de CloudWatch. Estos usuarios no pueden crear, actualizar ni
eliminar recursos de AWS WAF Classic.
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"waf:Get*",
"waf:List*",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF Classic, CloudFront y CloudWatch
La siguiente política permite a los usuarios realizar cualquier operación de AWS WAF Classic, realizar
cualquier operación en distribuciones web de CloudFront y monitorizar las métricas y una muestra de las
solicitudes de CloudWatch. Resulta muy útil para los usuarios que son administradores de AWS WAF
Classic:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"waf:*",
"cloudfront:CreateDistribution",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:UpdateDistribution",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:DeleteDistribution",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Recomendamos encarecidamente que configure la autenticación multifactor (MFA) para los usuarios
que tienen permisos administrativos. Para obtener más información, consulte Uso de Multi-Factor
Authentication (MFA) en AWS en la Guía del usuario de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:*"
],
"Resource": [
"arn:aws:waf::444455556666:*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:UpdateDistribution",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
• Acceso completo a las operaciones y recursos Get, Update y Delete de AWS WAF Classic
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:*"
],
"Resource": [
"arn:aws:waf::444455556666:webacl/112233d7c-86b2-458b-af83-51c51example"
]
}
]
}
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
A la hora de configurar el Control de acceso (p. 195) y escribir políticas de permisos que pueda asociar
a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia.
La tabla muestra todas las operaciones de la API de AWS WAF Classic, las acciones correspondientes
para las que puede conceder permisos y el recurso de AWS al que puede conceder los permisos. Las
acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo
Resource de la política.
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS WAF Classic para
expresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves
disponibles para condiciones en la Guía del usuario de IAM.
Note
Para especificar una acción, use el prefijo waf: seguido del nombre de operación de la API (por
ejemplo, waf:CreateIPSet).
CreateByteMatchSet
Acción: waf:CreateByteMatchSet
Recurso:
Acción: waf:CreateIPSet
Recurso:
Acción: waf:CreateRule
Recurso:
Acción: waf:CreateRateBasedRule
Recurso:
Acción: waf:CreateSizeConstraintSet
Recurso:
Acción: waf:CreateSqlInjectionMatchSet,
Recurso:
Acción: waf:CreateWebACL
Recurso:
Acción: waf:CreateXssMatchSet
Recurso:
Acción: waf:DeleteByteMatchSet,
Recurso:
Acción: waf:DeleteIPSet
Recurso:
Acción: waf:DeleteRule
Recurso:
Acción: waf:DeleteRateBasedRule
Recurso:
Acción: waf:DeleteSizeConstraintSet
Recurso:
Acción: waf:DeleteSqlInjectionMatchSet
Recurso:
Acción: waf:DeleteWebACL
Recurso:
Acción: waf:DeleteXssMatchSet
Recurso:
Acción: waf:GetByteMatchSet
Recurso:
Acción: waf:GetChangeToken
Recurso:
Acción: waf:GetChangeTokenStatus
Recurso:
Acción: waf:GetIPSet
Recurso:
Acción: waf:GetRule
Recurso:
Acción: waf:GetRateBasedRule
Recurso:
Acción: waf:GetRateBasedRuleManagedKeys
Recurso:
Acción: waf:GetSampledRequests
Recurso: el recurso depende de los parámetros que se especifican en la llamada a la API. Debe tener
acceso a la regla o a la ACL web que corresponde a la solicitud de muestras. Por ejemplo:
Acción: waf:GetSizeConstraintSet
Recurso:
Acción: waf:GetSqlInjectionMatchSet
Recurso:
Acción: waf:GetWebACL
Recurso:
Acción: waf:GetXssMatchSet
Recurso:
Acción: waf:ListByteMatchSets
Recurso:
Acción: waf:ListIPSets
Recurso:
Acción: waf:ListRules
Recurso:
Acción: waf:ListRateBasedRules
Recurso:
Acción: waf:ListSizeConstraintSets
Recurso:
Acción: waf:ListSqlInjectionMatchSets
Recurso:
Acción: waf:ListWebACLs
Recurso:
Acción: waf:ListXssMatchSets
Recurso:
Acción: waf:UpdateByteMatchSet
Recurso:
Acción: waf:UpdateIPSet
Recurso:
Acción waf:UpdateRule
Recurso:
Acción: waf:UpdateRateBasedRule
Recurso:
Acción: waf:UpdateSizeConstraintSet
Recurso:
Acción: waf:UpdateSqlInjectionMatchSet
Recurso:
Acción: waf:UpdateWebACL
Recurso:
Acción: waf:UpdateXssMatchSet
Recurso:
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un
rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS WAF
Classic. Las funciones vinculadas a servicios están predefinidas por AWS WAF Classic e incluyen todos
los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Con una función vinculada a servicios, resulta más sencillo configurar AWS WAF Classic, porque no es
preciso agregar los permisos necesarios manualmente. AWS WAF Classic define los permisos de las
funciones vinculadas con su propio servicio y, a menos que esté definido de otra manera, solo AWS WAF
Classic puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política
de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol.
De esta forma, se protegen los recursos de AWS WAF Classic, ya que se evita que se puedan eliminar
accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios
de AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado a
servicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al
servicio en cuestión.
• AWSServiceRoleForWAFLogging
• AWSServiceRoleForWAFRegionalLogging
AWS WAF Classic utiliza estos roles vinculados a servicios para escribir registros en Amazon Kinesis Data
Firehose. Estos roles solo se utilizan si habilita la escritura de registros en AWS WAF. Para obtener más
información, consulte Registro de información del tráfico de la ACL web (p. 184).
• waf.amazonaws.com
waf-regional.amazonaws.com
Las políticas de permisos de los roles permiten que AWS WAF Classic realice las siguientes acciones en
los recursos especificados:
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,
editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte
Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para
volver a crear el rol en su cuenta. Al realizar una operación de enable AWS WAF Classic logging, AWS
WAF Classic se encarga de volver crear automáticamente la función vinculada al servicio.
Si el servicio AWS WAF Classic está utilizando el rol cuando intenta eliminar los recursos, la
eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la
operación.
1. En la consola de AWS WAF Classic, quite el registro de todas las ACL web. Para obtener más
información, consulte Registro de información del tráfico de la ACL web (p. 184).
2. Mediante la API o la CLI, envíe una solicitud DeleteLoggingConfiguration para cada ACL web
que tenga habilitado el registro. Para obtener más información, consulte la Referencia de la API de
AWS WAF Classic.
Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados al servicio
AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging. Para obtener
más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de AWS WAF Classic
AWS WAF Classic admite el uso de roles vinculados al servicio en las siguientes regiones de AWS.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Con las alarmas de CloudWatch, puede ver una métrica determinada durante el periodo especificado.
Si la métrica supera un determinado umbral, CloudWatch envía una notificación a un tema de Amazon
SNS o política de AWS Auto Scaling. Para obtener más información, consulte Monitorear con Amazon
CloudWatch (p. 306).
Registros de AWS CloudTrail
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de
AWS en AWS WAF Classic. Mediante la información que recopila CloudTrail, se puede determinar la
solicitud que se envió a AWS WAF Classic, la dirección IP desde la que se realizó la solicitud, quién la
realizó, cuándo se realizó y detalles adicionales. Para obtener más información, consulte Registro de
llamadas a la API con AWS CloudTrail (p. 311).
AWS Trusted Advisor
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de
clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuando
surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar
a cerrar deficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones
de Trusted Advisor. Los clientes con un plan de soporte Business o Enterprise pueden ver todas las
comprobaciones de Trusted Advisor. Para obtener más información, consulte AWS Trusted Advisor.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Auditores externos evalúan la seguridad y la conformidad de AWS WAF Classic como parte de varios
programas de conformidad de AWS, como, por ejemplo, SOC, PCI, FedRAMP, HIPAA, y otros.
Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,
consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,
consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más
información, consulte la sección Descarga de informes en AWS Artifact.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
La infraestructura global de AWS está formada por regiones y zonas de disponibilidad de AWS. Las
regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas
que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además
de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos
que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las
zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las
infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las zonas de disponibilidad y las regiones de AWS, consulte
Infraestructura global de AWS.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
Al tratarse de un servicio administrado, AWS WAF Classic está protegido por los procedimientos de
seguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:
Información general sobre procesos de seguridad.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS WAF Classic a través de
la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con
conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)
o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y
posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso
secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token
Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic está sujeto a las siguientes cuotas (anteriormente denominadas «límites»).
AWS WAF Classic tiene cuotas predeterminadas del número de entidades por cuenta. Puede solicitar un
aumento de estas.
Recurso Cuota
predeterminada
Recurso Cuota
predeterminada
*Esta cuota se aplica únicamente a AWS WAF Classic en un Balanceador de carga de aplicaciones. Las
cuotas de solicitudes por segundo (RPS) para AWS WAF Classic en CloudFront son las mismas que se
describen para RPS con CloudFront en la Guía para desarrolladores de CloudFront.
Recurso Quota
Recurso Quota
Temas
• Precios de AWS Firewall Manager (p. 220)
• Requisitos previos de AWS Firewall Manager (p. 221)
• Introducción a AWS Firewall Manager para habilitar las reglas de AWS WAF Classic (p. 222)
• Introducción a AWS Firewall Manager para habilitar la protección de AWS Shield Advanced (p. 225)
• Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall
Manager (p. 230)
• Trabajo con grupos de reglas (p. 233)
• Uso de políticas de AWS Firewall Manager (p. 234)
• Tutorial: Creación de una política con reglas jerárquicas (p. 250)
• Visualización de la conformidad de los recursos con una política (p. 252)
• Hallazgos de AWS Firewall Manager (p. 252)
• Designación de una cuenta diferente como cuenta de administrador de AWS Firewall
Manager (p. 255)
• Seguridad en AWS Firewall Manager (p. 257)
• Cuotas de AWS Firewall Manager (p. 270)
Los cargos realizados por AWS Firewall Manager son para los servicios subyacentes como, por ejemplo,
AWS WAF Classic y AWS Config. Para obtener más información, consulte Precios de AWS Firewall
Manager.
Temas
• Paso 1: unirse a AWS Organizations (p. 221)
• Paso 2: Establecer la cuenta de administrador de AWS Firewall Manager (p. 221)
• Paso 3: habilitar AWS Config (p. 222)
Si su cuenta no forma parte de una organización, cree o únase a una organización como se describe en
Creación y administración de un AWS Organizations.
Después que su cuenta sea miembro de una organización, vaya a Paso 2: Establecer la cuenta de
administrador de AWS Firewall Manager (p. 221).
Para obtener más información sobre AWS Organizations y las cuentas maestras, consulte Administración
de las cuentas de AWS de su organización.
1. Inicie sesión en la consola de administración de AWS mediante una cuenta maestra de AWS
Organizations existente. Puede iniciar sesión mediante el usuario raíz de la cuenta (no se recomienda)
o mediante otro usuario o función de IAM dentro de la cuenta que tenga permisos equivalentes.
2. Abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fms.
3. Elija Get started.
4. Escriba un ID de cuenta que desea asociar a Firewall Manager Esto crea la cuenta de administrador
de Firewall Manager. El ID de cuenta puede ser la cuenta con la que ha iniciado sesión o una cuenta
diferente. Si el ID de cuenta que escribe no es una cuenta maestra de AWS Organizations, Firewall
Manager establece los permisos adecuados para la cuenta de miembro que especifique.
Note
A la cuenta que escriba en este paso se le concede permiso para crear y administrar reglas
de AWS WAF Classic en todas las cuentas dentro de su organización.
5. Elija Set administrator (Configurar administrador).
Después de establecer la cuenta de administrador de Firewall Manager, vaya a Paso 3: habilitar AWS
Config (p. 222).
Incurrirá en cargos por su configuración de AWS Config, de acuerdo con los precios de AWS
Config. Para obtener más información, consulte Introducción a AWS Config.
1. Habilite AWS Config para cada una de sus cuentas de miembro de AWS Organizations. Para obtener
más información, consulte Introducción a AWS Config.
2. Habilite AWS Config para cada región de AWS que contenga los recursos que desea proteger. Puede
habilitar AWS Config de forma manual, o puede usar la plantilla de AWS CloudFormation "Habilitar
AWS Config" en Plantillas de ejemplo StackSets de AWS CloudFormation. Como mínimo, debe
especificar uno o ambos de los siguientes tipos de recursos que se protegerán con AWS Firewall
Manager:
Ahora puede configurar Firewall Manager para comenzar a proteger sus recursos. Para obtener más
información, consulte Introducción a AWS Firewall Manager para habilitar las reglas de AWS WAF
Classic (p. 222).
La última versión de AWS WAF se lanzó en noviembre de 2019. AWS Firewall Manager
actualmente funciona con la versión anterior, AWS WAF Classic y no con AWS WAF. Para
obtener más información sobre AWS WAF Classic, consulte AWS WAF Classic (p. 81).
Puede utilizar AWS Firewall Manager para habilitar reglas de AWS WAF Classic, protecciones de AWS
Shield Advanced y Grupos de seguridad de Amazon VPC. Los pasos de configuración difieren ligeramente
en cada caso. Siga los pasos en Introducción a AWS Firewall Manager para habilitar la protección de
AWS Shield Advanced (p. 225) si desea utilizar Firewall Manager para habilitar las protecciones de AWS
Shield Advanced. Si desea utilizar Firewall Manager para habilitar Grupos de seguridad de Amazon VPC,
siga los pasos en Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall
Manager (p. 230).
Para utilizar Firewall Manager para habilitar las reglas de AWS WAF Classic, siga los siguientes pasos por
orden.
Temas
• Paso 1: Completar los requisitos previos (p. 223)
• Paso 2: crear reglas (p. 223)
• Paso 3: crear un grupo de reglas (p. 223)
• Paso 4: Crear y aplicar una política de AWS Firewall Manager AWS WAF Classic (p. 224)
• Cree sus reglas y, a continuación, añada sus condiciones a las reglas. Para obtener más información,
consulte Creación de una regla y adición de condiciones (p. 167).
Ahora está preparado para ir a Paso 3: crear un grupo de reglas (p. 223).
Para crear su propio grupo de reglas, siga el procedimiento que se indica a continuación.
Ahora está preparado para ir a Paso 4: Crear y aplicar una política de AWS Firewall Manager AWS WAF
Classic (p. 224).
1. Después de crear el grupo de reglas (el último paso del procedimiento anterior, Paso 3: crear un
grupo de reglas (p. 223)), la consola muestra la página Rule group summary (Resumen del grupo de
reglas). Elija Next (Siguiente).
2. En Name (Nombre), escriba un nombre fácil de recordar.
3. En Policy type (Tipo de política), elija WAF.
4. En Region (Región), elija una región de AWS. Para proteger los recursos de Amazon CloudFront
seleccione Global.
Para proteger los recursos en varias regiones (excepto los recursos de CloudFront), debe crear
políticas de Firewall Manager distintas para cada región.
5. Seleccione un grupo de reglas que desee añadir y, a continuación, elija Add rule group (Añadir grupo
de reglas).
6. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el
grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la
acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por el grupo de
reglas incluido en la política. Es decir, si la acción de la política está establecida en Count (Contar), las
solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de su
organización en AWS Organizations. Si añade una nueva cuenta a la organización, Firewall
Manager aplicará automáticamente la política a dicha cuenta.
9. Escoja los tipos de recursos que desea proteger.
10. Si solo desea proteger recursos con etiquetas específicas, o también si desea excluir recursos con
etiquetas específicas, seleccione Use tags to include/exclude resources (Usar etiquetas para incluir/
excluir recursos), introduzca las etiquetas y, a continuación, seleccione Include (Incluir) o Exclude
(Excluir). Solo puede elegir una opción.
Si escribe varias etiquetas (separadas por comas) y si un recurso tiene cualquiera de estas etiquetas,
se considera una coincidencia.
Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.
11. Seleccione Create and apply this policy to existing and new resources (Crear y aplicar esta política a
los recursos nuevos y existentes).
Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS Organizations
y la asocia a los recursos especificados en las cuentas. Esta opción también aplica la política a todos
los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por
otro lado, si elige Create but do not apply this policy to existing or new resources (Crear política pero
no aplicarla a los recursos nuevos o existentes), Firewall Manager crea una ACL web en todas las
cuentas de la organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso.
Deberá aplicar la política a los recursos posteriormente.
12. Deje la opción de Sustituir ACL web asociadas existentes con la configuración predeterminada.
Cuando se selecciona esta opción, Firewall Manager eliminó todas las asociaciones ACL web
existentes de los recursos dentro del ámbito antes de que se asocie las ACL web de la nueva política.
13. Elija Next (Siguiente).
14. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con
la política, elija Create policy (Crear política).
Important
Firewall Manager no es compatible con Amazon Route 53 ni con AWS Global Accelerator. Si
necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall
Manager. En su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a
más recursos de AWS (p. 284).
Para utilizar Firewall Manager para habilitar la protección de Shield Advanced, siga los siguientes pasos
por orden.
Temas
• Paso 1: Completar los requisitos previos (p. 226)
• Paso 2: Crear y aplicar una política de AWS Firewall Manager de Shield Advanced (p. 226)
• Paso 3: (Opcional) Autorice al equipo de respuesta a ataques DDoS. (p. 228)
• Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon CloudWatch (p. 228)
• Paso 5: Implementar reglas de AWS WAF Classic (p. 229)
• Paso 6: Monitoree el panel del entorno de amenazas globales. (p. 230)
Firewall Manager no es compatible con Amazon Route 53 ni con AWS Global Accelerator. Si
necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall
Manager. En su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a
más recursos de AWS (p. 284).
Para proteger los recursos en varias regiones (excepto los recursos de CloudFront) debe crear
políticas de Firewall Manager distintas para cada región.
6. Elija Next (Siguiente).
7. En Name (Nombre), escriba un nombre fácil de recordar.
8. Si desea incluir solo cuentas específicas en la política, o bien excluir de forma alternativa cuentas
específicas de la política, seleccione Select accounts to include/exclude from this policy (optional)
(Seleccionar cuentas que se van a incluir en/excluir de esta política (opcional)). Elija Include only these
accounts in this policy (Incluir solo estas cuentas en esta política) o Exclude these accounts from this
policy (Excluir estas cuentas de esta política). Solo puede elegir una opción. Elija Add. Seleccione los
números de cuenta que se van a incluir o excluir y, a continuación, seleccione OK (Aceptar).
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de su
organización en AWS Organizations. Si añade una nueva cuenta a la organización, Firewall
Manager aplicará automáticamente la política a dicha cuenta.
9. Escoja los tipos de recursos que desea proteger.
Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita
proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En
su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a más recursos de
AWS (p. 284).
10. Si solo desea proteger recursos con etiquetas específicas, o también si desea excluir recursos con
etiquetas específicas, seleccione Use tags to include/exclude resources (Usar etiquetas para incluir/
excluir recursos), introduzca las etiquetas y, a continuación, seleccione Include (Incluir) o Exclude
(Excluir). Solo puede elegir una opción.
Si escribe varias etiquetas (separadas por comas) y si un recurso tiene cualquiera de estas etiquetas,
se considera una coincidencia.
Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.
11. Seleccione Create and apply this policy to existing and new resources (Crear y aplicar esta política a
los recursos nuevos y existentes).
Esta opción aplica la protección de Shield Advanced para cada cuenta aplicable en una organización
en AWS Organizations y asocia la protección con los recursos especificados en las cuentas.
Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios
precedentes (tipo de recurso y etiquetas). De manera opcional, si selecciona Create but do not apply
this policy to existing or new resources (Crear política pero no aplicarla a los recursos nuevos o
existentes), Firewall Manager no aplica la protección de Shield Advanced a ningún recurso. Deberá
aplicar la política a los recursos posteriormente.
Note
Siga en Paso 3: (Opcional) Autorice al equipo de respuesta a ataques DDoS. (p. 228).
Debe autorizar y contactar con el DRT en el nivel de cuenta. Le informamos que, el propietario de la
cuenta, no el administrador de Firewall Manager, debe seguir los siguientes pasos para autorizar al
equipo de DDoS Response Team (DRT, respuesta a ataques DDoS) para mitigar posibles ataques.
El administrador de Firewall Manager puede autorizar al DRT solo para las cuentas de las que sean
propietarios. Del mismo modo, solo el propietario de la cuenta puede ponerse en contacto con el DRT para
obtener soporte.
Note
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el
plan Enterprise Support.
Para autorizar al DRT a mitigar en su nombre los posibles ataques, siga las instrucciones en Edición de la
configuración de AWS Shield Advanced (p. 288). Puede cambiar el acceso y los permisos del DRT en
cualquier momento siguiendo los mismos pasos.
Siga en Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon
CloudWatch (p. 228).
Para crear una alarma de CloudWatch, siga las instrucciones de Uso de alarmas de Amazon CloudWatch.
De forma predeterminada, Shield Advanced configura CloudWatch para alertarle después de tan solo un
indicador del posible evento DDoS. Si es necesario, puede utilizar la consola CloudWatch para cambiar
esta configuración para alertarle solo después de que se detecten varios indicadores.
Note
Además de las alarmas, también puede utilizar un panel de CloudWatch para monitorizar la
posible actividad DDoS. El panel recopila y procesa los datos sin formato de Shield Advanced en
métricas legibles y casi en tiempo real. Estas estadísticas se registran durante un periodo de dos
semanas, de forma que pueda acceder a información histórica y obtener una mejor perspectiva
sobre el rendimiento de su aplicación web o servicio. Para obtener más información, consulte
¿Qué es CloudWatch en la Guía del usuario de Amazon CloudWatch.
Para obtener instrucciones sobre cómo crear un panel de CloudWatch, consulte Monitorear con
Amazon CloudWatch (p. 306). Para obtener más información acerca de métricas de Shield
Advanced específicas que puede añadir a su panel, consulte Métricas y alarmas de AWS Shield
Advanced (p. 309).
Puede seguir desde este paso sin configurar las notificaciones de Amazon SNS ni las alarmas de
CloudWatch. Sin embargo, esto reduce significativamente su visibilidad de posibles eventos DDoS.
Después de configurar las notificaciones de Amazon SNS y las alarmas de CloudWatch, le recomendamos
que siga las instrucciones en Paso 5: Implementar reglas de AWS WAF Classic (p. 229).
AWS proporciona plantillas configuradas previamente que incluyen un conjunto de reglas de AWS
WAF Classic que puede personalizar para que se adapten mejor a sus necesidades. Estas plantillas
están diseñadas para bloquear los ataques más frecuentes contra las web como, por ejemplo, bots
malintencionados, inyecciones de código SQL, scripting entre sitios (XSS), inundaciones HTTP y
ataques de atacantes conocidos. Además de activar Shield Advanced y especificar recursos para la
protección de Shield Advanced, también debe utilizar estas plantillas preconfiguradas.
Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de
seguridad de AWS WAF). AWS WAF se incluye con Shield Advanced sin costo adicional.
AWS WAF proporciona grupos de reglas de AWS Marketplace para ayudarle a proteger sus recursos.
Los grupos de reglas de AWS Marketplace son conjuntos de reglas predefinidas y listas para usar que
los vendedores de AWS y AWS Marketplace escriben y actualizan. Para obtener más información,
consulte Grupos de reglas administrados (p. 24).
AWS WAF para las 10 principales vulnerabilidades de aplicaciones web de OWASP
En este documento se describe cómo se puede utilizar AWS WAF para mitigar las vulnerabilidades
de aplicaciones definidas en la lista de 10 vulnerabilidades principales del proyecto OWASP (proyecto
abierto de seguridad de aplicaciones web). Esta lista muestra las categorías de defectos de seguridad
de aplicaciones más frecuentes. Para obtener más información, consulte AWS WAF Security
Automations (Automatizaciones de seguridad de AWS WAF).
Como paso final de la introducción a Firewall Manager y Shield Advanced, revise el panel del entorno
de amenazas globales, tal y como se describe en Paso 6: Monitoree el panel del entorno de amenazas
globales. (p. 230).
Para utilizar Firewall Manager para habilitar un grupo de seguridad en toda la organización, lleve a cabo los
siguientes pasos por orden.
Temas
• Paso 1: Completar los requisitos previos (p. 230)
• Paso 2: Crear un grupo de seguridad para utilizarlo en su política (p. 231)
• Paso 3: Crear y aplicar una política de grupo de seguridad común de AWS Firewall Manager (p. 231)
Si ya tiene definido un grupo de seguridad general, omita este paso y vaya a Paso 3: Crear y aplicar una
política de grupo de seguridad común de AWS Firewall Manager (p. 231).
Para crear un grupo de seguridad para utilizarlo en una política de grupo de seguridad común de
Firewall Manager
• Cree un grupo de seguridad que pueda aplicar a todas las cuentas y recursos de la organización,
siguiendo las instrucciones que se indican en Grupos de seguridad de su VPC en la Guía del usuario
de Amazon VPC.
Para obtener información sobre las opciones de reglas de grupo de seguridad, consulte Referencia de
reglas de grupos de seguridad.
Ahora está preparado para ir a Paso 3: Crear y aplicar una política de grupo de seguridad común de AWS
Firewall Manager (p. 231).
En este tutorial, creará una política de grupo de seguridad común y la definirá de tal modo que no se
corrija automáticamente. Esto le permite ver el efecto que tendría la política sin realizar cambios en su
organización de AWS.
Para crear una política de grupo de seguridad común de Firewall Manager (consola)
En el panel AWS Firewall Manager policies (Políticas de AWS Firewall Manager), su política debe
aparecer en la lista. Probablemente indicará Pending (Pendiente) bajo los encabezados de las
cuentas e indicará que la Automatic remediation (Corrección automática) está deshabilitada. La
creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending
(Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado
de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la
conformidad de los recursos con una política (p. 252)
20. Cuando haya terminado de explorar, si no desea conservar la política creada para este tutorial, elija
el nombre de la política, elija Delete (Eliminar), elija Clean up resources created by this policy (Borrar
recursos creados por esta política) y, finalmente, elija Delete (Eliminar).
Para obtener más información sobre las políticas de grupos de seguridad de Firewall Manager, consulte
Cómo funcionan las políticas de grupos de seguridad en AWS Firewall Manager (p. 244).
Si desea añadir un grupo de reglas de AWS Marketplace a su política, primero deberá suscribir
cada cuenta de la organización a dicho grupo de reglas. Una vez suscritas todas las cuentas,
puede agregar el grupo de reglas a una política. Para obtener más información, consulte Grupos
de reglas de AWS Marketplace (p. 171).
Temas
• Creación de un grupo de reglas (p. 233)
• Adición y eliminación de reglas de un grupo de reglas (p. 234)
Cuando haya creado todas las reglas que necesite, vaya al siguiente paso.
7. Escriba un nombre de grupo de reglas.
8. Para añadir una regla al grupo de reglas, seleccione una regla y, a continuación, elija Add rule (Añadir
regla). Elija si desea permitir, bloquear o contar solicitudes que coincidan con las condiciones de la
regla. Para obtener más información acerca de las opciones, consulte Cómo funciona AWS WAF
Classic (p. 85).
9. Cuando haya terminado de añadir reglas, elija Create (Crear).
Puede probar el grupo de reglas añadiéndolo a una WebACL AWS WAF y estableciendo la acción
WebACL en Override to Count (Anular para recuento). Esta acción anula cualquier acción que elija para
las reglas incluidas en el grupo y solo cuenta las solicitudes coincidentes. Para obtener más información,
consulte Creación de una ACL web (p. 175).
Si elimina una regla del grupo de reglas no elimina la propia regla. Solo elimina la regla del grupo de
reglas.
a. Seleccione una regla y, a continuación, elija Add rule to rule group (Añadir regla a grupo de
reglas). Elija si desea permitir, bloquear o contar solicitudes que coincidan con las condiciones
de la regla. Para obtener más información acerca de las opciones, consulte Cómo funciona AWS
WAF Classic (p. 85). Repita el procedimiento para añadir más reglas al grupo de reglas.
Note
a. Elija la X situada al lado de la regla que desea eliminar. Repita el procedimiento para eliminar más
reglas del grupo de reglas.
b. Elija Update (Actualizar).
• Política de AWS WAF: esta política contiene un grupo de reglas de AWS WAF Classic y define los
recursos que protegerá dicho grupo de reglas.
Versión de API 2019-07-29
234
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Creación de una política de AWS Firewall Manager
Note
La última versión de AWS WAF se lanzó en noviembre de 2019. AWS Firewall Manager
actualmente funciona con la versión anterior, AWS WAF Classic y no con AWS WAF. Para
obtener más información sobre AWS WAF Classic, consulte AWS WAF Classic (p. 81).
• Política de Shield Advanced: esta política aplica la protección de AWS Shield Advanced a las cuentas y
los recursos especificados.
• Política de Grupo de seguridad de Amazon VPC – Este tipo de política le da control sobre los grupos de
seguridad que se utilizan en toda la organización en AWS Organizations y le permite aplicar un conjunto
de reglas básicas en toda la organización.
Una política de Firewall Manager es específica del tipo de política individual. Si desea aplicar varios tipos
de políticas en diversas cuentas, puede crear varias políticas. Puede crear más de una política para cada
tipo.
Note
Un grupo de reglas es un conjunto de reglas y cada regla incluye las condiciones que especifique.
Solo puede aplicar un grupo de reglas a una política, pero puede aplicar el mismo grupo de reglas
a varias políticas.
Si añade una nueva cuenta a una organización que haya creado con AWS Organizations, Firewall
Manager aplica automáticamente la política a los recursos en dicha cuenta que se encuentren dentro del
ámbito de la política.
AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si
desea proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall
Manager. En su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a
más recursos de AWS (p. 284).
Temas
• Creación de una política de AWS Firewall Manager para AWS WAF Classic (p. 235)
• Creación de una política de AWS Firewall Manager para Shield Advanced (p. 237)
• Creación de una política de grupo de seguridad común de AWS Firewall Manager (p. 238)
• Creación de una política de grupo de seguridad de auditoría de contenido de AWS Firewall
Manager (p. 240)
• Creación de una política de grupo de seguridad de auditoría de uso de AWS Firewall
Manager (p. 242)
La última versión de AWS WAF se lanzó en noviembre de 2019. AWS Firewall Manager
actualmente funciona con la versión anterior, AWS WAF Classic y no con AWS WAF. Para
obtener más información sobre AWS WAF Classic, consulte AWS WAF Classic (p. 81).
Para crear una política de Firewall Manager para AWS WAF Classic (consola)
Para proteger los recursos en varias regiones (excepto los recursos de CloudFront) debe crear
políticas de Firewall Manager distintas para cada región.
7. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de
reglas (p. 233). Después de crear el grupo de reglas, continúe con los pasos siguientes.
8. Seleccione Next (Siguiente).
9. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de
reglas (p. 233). Después de crear el grupo de reglas, continúe con los pasos siguientes.
10. Escriba un nombre para la política.
11. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de
reglas al que agregar y, a continuación, elija Add rule group (Agregar grupo de reglas).
12. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el
grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la
acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por las reglas
en el grupo de reglas. Es decir, si la acción de la política está establecida en Count (Contar), las
solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política
en Action set by rule group (Acción establecida por el grupo de reglas), se utilizan las acciones del
grupo de reglas. Elija la acción apropiada.
13. Elija Next (Siguiente).
14. Si desea incluir solo cuentas específicas en la política, o bien excluir de forma alternativa cuentas
específicas de la política, seleccione Select accounts to include/exclude from this policy (optional)
(Seleccionar cuentas que se van a incluir en/excluir de esta política (opcional)). Elija Include only these
accounts in this policy (Incluir solo estas cuentas en esta política) o Exclude these accounts from this
policy (Excluir estas cuentas de esta política). Solo puede elegir una opción. Elija Add. Seleccione los
números de cuenta que se van a incluir o excluir y, a continuación, seleccione OK (Aceptar).
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de
su organización de AWS. Si añade una nueva cuenta a la organización, Firewall Manager
aplicará automáticamente la política a dicha cuenta.
15. Elija el tipo de recurso que desea proteger.
Versión de API 2019-07-29
236
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Creación de una política de AWS Firewall Manager
16. Si solo desea proteger recursos con etiquetas específicas, o también si desea excluir recursos con
etiquetas específicas, seleccione Use tags to include/exclude resources (Usar etiquetas para incluir/
excluir recursos), introduzca las etiquetas y, a continuación, seleccione Include (Incluir) o Exclude
(Excluir). Solo puede elegir una opción.
Si escribe varias etiquetas (separadas por comas), si un recurso tiene cualquiera de estas etiquetas,
se considera una coincidencia.
Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.
17. Si desea aplicar automáticamente la política a los recursos existentes, elija Create and apply this
policy to existing and new resources (Crear y aplicar esta política a los recursos nuevos y existentes).
Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS y asocia la ACL
web a los recursos en las cuentas. Esta opción también aplica la política a todos los nuevos recursos
que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por otro lado, si elige Create
policy but do not apply the policy to existing or new resources (Crear política pero no aplicarla a
los recursos nuevos o existentes), Firewall Manager crea una ACL web en todas las cuentas de la
organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso. Deberá aplicar
la política a los recursos posteriormente. Elija la opción apropiada.
18. En Replace existing associated web ACLs (Sustituir ACL web asociadas existentes), puede elegir
eliminar cualquier asociación ACL web que esté definida actualmente en los recursos dentro del
ámbito y, a continuación, sustituirlos por asociaciones a las ACL web que crea con esta política. De
forma predeterminada, Firewall Manager no elimina las asociaciones de ACL web existentes antes de
agregar las nuevas. Si desea eliminar las existentes, seleccione esta opción.
19. Elija Next (Siguiente).
20. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con
la política, elija Create and apply policy (Crear y aplicar política).
Para crear una política de Shield Advanced, debe haberse registrado en Shield Advanced. Se le
pedirá que se suscriba si no lo ha hecho ya. Para obtener más información, consulte Precios de AWS
Shield Advanced (p. 278).
6. En Region (Región), elija una región de AWS. Para proteger los recursos de Amazon CloudFront
seleccione Global.
Versión de API 2019-07-29
237
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Creación de una política de AWS Firewall Manager
Para proteger los recursos en varias regiones (excepto los recursos de CloudFront) debe crear
políticas de Firewall Manager distintas para cada región.
7. Elija Next (Siguiente).
8. Si desea incluir solo cuentas específicas en la política, o bien excluir de forma alternativa cuentas
específicas de la política, seleccione Select accounts to include/exclude from this policy (optional)
(Seleccionar cuentas que se van a incluir en/excluir de esta política (opcional)). Elija Include only these
accounts in this policy (Incluir solo estas cuentas en esta política) o Exclude these accounts from this
policy (Excluir estas cuentas de esta política). Solo puede elegir una opción. Elija Add. Seleccione los
números de cuenta que se van a incluir o excluir y, a continuación, seleccione OK (Aceptar).
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de
su organización de AWS. Si añade una nueva cuenta a la organización, Firewall Manager
aplicará automáticamente la política a dicha cuenta.
9. Elija el tipo de recurso que desea proteger.
Firewall Manager no es compatible con Amazon Route 53 ni con AWS Global Accelerator. Si necesita
proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En
su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a más recursos de
AWS (p. 284).
10. Si solo desea proteger recursos con etiquetas específicas, o también si desea excluir recursos con
etiquetas específicas, seleccione Use tags to include/exclude resources (Usar etiquetas para incluir/
excluir recursos), introduzca las etiquetas y, a continuación, seleccione Include (Incluir) o Exclude
(Excluir). Solo puede elegir una opción.
Si escribe varias etiquetas (separadas por comas) y si un recurso tiene cualquiera de estas etiquetas,
se considera una coincidencia.
Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.
11. Seleccione Create and apply this policy to existing and new resources (Crear y aplicar esta política a
los recursos nuevos y existentes).
Esta opción aplica la protección de Shield Advanced para cada cuenta aplicable en una organización
de AWS y asocia la protección con los recursos especificados en las cuentas. Esta opción también
aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de
recurso y etiquetas). De manera opcional, si selecciona Create but do not apply this policy to existing
or new resources (Crear política pero no aplicarla a los recursos nuevos o existentes), Firewall
Manager no aplica la protección de Shield Advanced a ningún recurso. Deberá aplicar la política a los
recursos posteriormente.
12. Elija Next (Siguiente).
13. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con
la política, elija Create policy (Crear política).
Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes,
consulte Políticas de grupos de seguridad comunes (p. 245).
a. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de
seguridad y a los recursos que están dentro del ámbito de la política.
b. En Primary security groups (Grupos de seguridad principales), elija Add primary security group
(Añadir grupo de seguridad principal) y elija el grupo de seguridad que desea utilizar. Firewall
Manager rellena la lista de los grupos de seguridad principales de todas las instancias de Amazon
VPC en la cuenta de administrador de Firewall Manager. El número máximo predeterminado de
grupos de seguridad principales para una política es uno. Para obtener información sobre cómo
aumentar el máximo, consulte Cuotas de AWS Firewall Manager (p. 270).
c. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección
automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando
esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la
política para habilitar la corrección automática de los recursos no conformes.
10. Seleccione Siguiente.
11. En AWS accounts affected by this policy (Cuentas de AWS afectadas por esta política), si desea
aplicar la política a todas las cuentas de la organización, elija Include all accounts under my
organization (Incluir todas las cuentas de mi organización). Si desea incluir solo cuentas específicas
en la política o si desea excluir cuentas específicas de la política, elija una de esas opciones y, a
continuación, utilice el cuadro de diálogo AWS accounts (Cuentas de AWS) para agregar números de
cuenta para incluirlos o excluirlos. Solo puede elegir una opción.
Note
Con las opciones Include all accounts under my organization (Incluir todas las cuentas
de mi organización) y Exclude the specified accounts and include all others (Excluir las
cuentas especificadas e incluir todas las demás), cuando agregue una nueva cuenta a su
organización, Firewall Manager aplica automáticamente la política a esa cuenta.
12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.
13. En Resources (Recursos), si desea aplicar la política a todos los recursos dentro de los parámetros
de tipo de recurso y las cuentas de AWS, elija Include all resources that match the selected resource
Versión de API 2019-07-29
239
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Creación de una política de AWS Firewall Manager
type (Incluir todos los recursos que coincidan con el tipo de recurso seleccionado). Si desea incluir o
excluir recursos específicos, utilice el etiquetado para especificar los recursos y, a continuación, elija
la opción adecuada y agregue las etiquetas a la lista. Puede aplicar la política a todos los recursos
excepto a aquellos que tengan todas las etiquetas especificadas o solo a aquellos que tengan todas
las etiquetas especificadas. Para obtener más información sobre cómo etiquetar los recursos, consulte
Uso de Tag Editor.
Note
Si introduce más de una etiqueta, el recurso deberá tener todas las etiquetas para que
coincida.
14. Seleccione Siguiente.
15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija
Create policy (Crear política).
Firewall Manager crea una réplica del grupo de seguridad principal en cada instancia de Amazon VPC
contenida en las cuentas pertinentes hasta la cuota máxima de Amazon VPC admitida por cuenta. Firewall
Manager asocia los grupos de seguridad de réplica a los recursos que están dentro del ámbito de la
política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política,
consulte Políticas de grupos de seguridad comunes (p. 245).
Puede utilizar las reglas de grupo de seguridad de auditoría como una plantilla para las reglas permitidas
por la política o como una plantilla para las reglas denegadas por la política. Para obtener información
sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte
Políticas de grupos de seguridad de auditoría de contenido (p. 246).
a. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de
seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción,
consulte Políticas de grupos de seguridad de auditoría de contenido (p. 246).
b. En Audit security groups (Grupos de seguridad de auditoría), elija Add audit security group (Añadir
grupo de seguridad de auditoría) y elija el grupo de seguridad que desea utilizar. Firewall Manager
rellena la lista de los grupos de seguridad de auditoría de todas las instancias de Amazon VPC en
la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número
de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre
cómo aumentar la cuota, consulte Cuotas de AWS Firewall Manager (p. 270).
c. En Policy action (Acción de la política), debe crear la política sin la opción de corrección
automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando
esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la
política para habilitar la corrección automática de los recursos no conformes.
10. Seleccione Siguiente.
11. En AWS accounts affected by this policy (Cuentas de AWS afectadas por esta política), si desea
aplicar la política a todas las cuentas de la organización, elija Include all accounts under my
organization (Incluir todas las cuentas de mi organización). Si desea incluir solo cuentas específicas
en la política o si desea excluir cuentas específicas de la política, elija una de esas opciones y, a
continuación, utilice el cuadro de diálogo AWS accounts (Cuentas de AWS) para agregar números de
cuenta para incluirlos o excluirlos. Solo puede elegir una opción.
Note
Con las opciones Include all accounts under my organization (Incluir todas las cuentas
de mi organización) y Exclude the specified accounts and include all others (Excluir las
cuentas especificadas e incluir todas las demás), cuando agregue una nueva cuenta a su
organización, Firewall Manager aplica automáticamente la política a esa cuenta.
12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.
13. En Resources (Recursos), si desea aplicar la política a todos los recursos dentro de los parámetros
de tipo de recurso y las cuentas de AWS, elija Include all resources that match the selected resource
type (Incluir todos los recursos que coincidan con el tipo de recurso seleccionado). Si desea incluir o
excluir recursos específicos, utilice el etiquetado para especificar los recursos y, a continuación, elija
la opción adecuada y agregue las etiquetas a la lista. Puede aplicar la política a todos los recursos
excepto a aquellos que tengan todas las etiquetas especificadas o solo a aquellos que tengan todas
las etiquetas especificadas. Para obtener más información sobre cómo etiquetar los recursos, consulte
Uso de Tag Editor.
Note
Si introduce más de una etiqueta, el recurso deberá tener todas las etiquetas para que
coincida.
14. Seleccione Siguiente.
15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija
Create policy (Crear política).
Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del
ámbito de la organización de AWS, según la configuración de las reglas de su política. Puede examinar
el estado de la política en la consola de políticas de AWS Firewall Manager. Una vez creada la política,
puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de
auditoría. Para obtener más información sobre cómo funciona esta política, consulte Políticas de grupos de
seguridad de auditoría de contenido (p. 246).
Versión de API 2019-07-29
241
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Creación de una política de AWS Firewall Manager
• Si elige Security groups within this policy scope must be used by at least one resource (Los grupos
de seguridad dentro del ámbito de esta política deben ser utilizados por al menos un recurso),
Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. De forma
predeterminada, Firewall Manager considera que los grupos de seguridad no conformes con esta
regla de políticas si no se utilizan durante un período de tiempo. Opcionalmente, puede especificar
un número de minutos en los que un grupo de seguridad puede existir sin utilizarse antes de que se
considere no conforme. Si elige esta regla, Firewall Manager lo ejecuta en último lugar vez cuando
guarda la política.
• Si elige Security groups within this policy scope must be unique (Los grupos de seguridad dentro
del ámbito de esta política deben ser únicos), Firewall Manager consolida los grupos de seguridad
redundantes, de modo que solo uno está asociado a los recursos. Si elige esto, Firewall Manager lo
ejecuta en primer lugar cuando guarda la política.
10. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección
automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté
convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política
para habilitar la corrección automática de los recursos no conformes.
11. Seleccione Siguiente.
12. En AWS accounts affected by this policy (Cuentas de AWS afectadas por esta política), si desea
aplicar la política a todas las cuentas de la organización, elija Include all accounts under my
organization (Incluir todas las cuentas de mi organización). Si desea incluir solo cuentas específicas
en la política o si desea excluir cuentas específicas de la política, elija una de esas opciones y, a
continuación, utilice el cuadro de diálogo AWS accounts (Cuentas de AWS) para agregar números de
cuenta para incluirlos o excluirlos. Solo puede elegir una opción.
Note
Con las opciones Include all accounts under my organization (Incluir todas las cuentas
de mi organización) y Exclude the specified accounts and include all others (Excluir las
cuentas especificadas e incluir todas las demás), cuando agregue una nueva cuenta a su
organización, Firewall Manager aplica automáticamente la política a esa cuenta.
13. En Resources (Recursos), si desea aplicar la política a todos los recursos dentro de los parámetros
de tipo de recurso y las cuentas de AWS, elija Include all resources that match the selected resource
type (Incluir todos los recursos que coincidan con el tipo de recurso seleccionado). Si desea incluir o
excluir recursos específicos, utilice el etiquetado para especificar los recursos y, a continuación, elija
la opción adecuada y agregue las etiquetas a la lista. Puede aplicar la política a todos los recursos
excepto a aquellos que tengan todas las etiquetas especificadas o solo a aquellos que tengan todas
las etiquetas especificadas. Para obtener más información sobre cómo etiquetar los recursos, consulte
Uso de Tag Editor.
Note
Si introduce más de una etiqueta, el recurso deberá tener todas las etiquetas para que
coincida.
14. Seleccione Siguiente.
15. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall
Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de
Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan
bajo su control manual. Elija la opción que desee en este diálogo.
16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija
Create policy (Crear política).
Si decide exigir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en
cada instancia de Amazon VPC pertinente. A continuación, si decide exigir que cada grupo de seguridad
sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han
utilizado durante los minutos especificados en la regla. Puede examinar el estado de la política en la
consola de políticas de AWS Firewall Manager. Para obtener más información sobre cómo funciona esta
política, consulte Políticas de grupos de seguridad de auditoría de uso (p. 247).
Note
Cuando elimine una política de grupo de seguridad común de Firewall Manager, para quitar los
grupos de seguridad de réplica de la política, elija la opción de eliminar los recursos creados por
la política. De lo contrario, después de eliminar el principal, las réplicas permanecen y requerirán
administración manual en cada instancia de Amazon VPC.
Important
Cuando elimina una política de Firewall Manager-Shield Advanced, esta se elimina, pero sus
cuentas permanecen suscritas a Shield Advanced.
Si las etiquetas asignadas a un recurso cambian, lo que hace que el recurso se salga del ámbito de una
política de Firewall Manager-Shield Advanced, Firewall Manager ya no monitoriza el recurso. Sin embargo,
el recurso sigue estando protegido por Shield Advanced y generará el cargo por transferencia de datos de
Shield Advanced.
Si una cuenta que formaba parte de una política de Firewall Manager-Shield Advanced abandona la
organización, ya no entra dentro del ámbito de la política y Firewall Manager ya no la monitoriza. Sin
embargo, la cuenta sigue estando suscrita a Shield Advanced. Dado que la cuenta ya no forma parte
de la familia de facturación unificada, la cuenta generará una cuota de suscripción de Shield Advanced
prorrateada.
Firewall Manager mantiene continuamente sus políticas y las aplica a cuentas y recursos a medida que se
agregan o actualizan en toda la organización. Para obtener más información sobre AWS Organizations,
consulte Guía del usuario de AWS Organizations. Para obtener información sobre los grupos de seguridad
de Amazon Virtual Private Cloud, consulte Grupos de seguridad de su VPC en la Guía del usuario de
Amazon VPC.
Puede utilizar política de grupo de seguridad de Firewall Manager para realizar lo siguiente en toda la
organización de AWS:
En esta sección se describe cómo funcionan las política de grupos de seguridad de Firewall Manager y
se proporciona orientación para utilizarlas. Para obtener información sobre los procedimientos para crear
políticas de grupos de seguridad, consulte Creación de una política de AWS Firewall Manager (p. 235).
La configuración que proporciona para las cuentas de AWS afectadas por la política determina a qué
cuentas de la organización de AWS se debe aplicar la política de grupo de seguridad. Puede optar por
aplicar la política de una de las siguientes maneras:
Cualquiera que sea la opción que elija, al agregar una nueva cuenta a su organización, Firewall Manager
la evalúa automáticamente en relación con esta configuración en cada política de grupo de seguridad y
aplica la política como se indica. Por ejemplo, si decide aplicar la política a todas las cuentas excepto a
los números de cuenta de la lista, al agregar una cuenta nueva, Firewall Manager aplicará la política si el
nuevo número de cuenta no está en la lista de exclusión.
Recursos en el ámbito
La configuración que proporciona para los recursos determina a qué recursos de las cuentas dentro del
ámbito y tipos de recursos se debe aplicar la política. Puede elegir una de las siguientes opciones:
Para obtener más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.
Cualquiera que sea la opción que elija, al agregar una nueva cuenta a su organización, Firewall Manager
la evalúa automáticamente en relación con esta configuración en cada política de grupo de seguridad y
aplica la política como se indica. Por ejemplo, si decide aplicar la política solo a los recursos que tienen
todas las etiquetas de la lista, al agregar o actualizar un recurso dentro de los parámetros de tipo de
recurso y cuenta de la política, Firewall Manager compara las etiquetas del recurso con la lista y aplica la
política si el recurso tiene todas las etiquetas.
Para cada política de grupo de seguridad común, AWS Firewall Manager debe proporcionar uno o varios
grupos de seguridad principales:
• Los grupos de seguridad principales deben ser creados por la cuenta de administrador de Firewall
Manager y pueden residir en cualquier instancia de Amazon VPC de la cuenta.
• Los grupos de seguridad principales se administran a través de Amazon Virtual Private Cloud (Amazon
VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener más información, consulte Uso de
grupos de seguridad en la Guía del usuario de Amazon VPC.
• Puede nombrar uno o varios grupos de seguridad como principales para una política de grupo de
seguridad de Firewall Manager. De forma predeterminada, el número de grupos de seguridad permitidos
en una política es uno, pero puede enviar una solicitud para aumentarlo. Para obtener información,
consulte Cuotas de AWS Firewall Manager (p. 270).
• Identificar y revertir los cambios realizados por los usuarios locales en los grupos de seguridad de
réplica.
• Desasociar cualquier otro grupo de seguridad de los recursos de AWS que se encuentren dentro del
ámbito de la política.
Al crear la política de grupo de seguridad común, Firewall Manager replica los grupos de seguridad
principales en cada instancia de Amazon VPC dentro del ámbito de la política y asocia los grupos de
seguridad replicados a cuentas y recursos incluidos en el ámbito de la política. Al modificar un grupo de
seguridad principal, Firewall Manager propaga el cambio a las réplicas.
Al eliminar una política de grupo de seguridad común, puede elegir si desea borrar los recursos creados
por la política. Para los grupos de seguridad comunes de Firewall Manager, estos recursos son los grupos
de seguridad de réplica. Elija la opción de eliminación a menos que desee administrar manualmente cada
réplica individual después de eliminar la política. En la mayoría de las situaciones, elegir la opción de
eliminación es el enfoque más sencillo.
Los grupos de seguridad de réplica de las instancias de Amazon VPC se administran como otros grupos
de seguridad de Amazon VPC. Para obtener más información, consulte Grupos de seguridad de su VPC
en la Guía del usuario de Amazon VPC.
Para el tipo de recurso de una política de grupo de seguridad de auditoría de contenido, puede elegir los
mismos tipos que están disponibles para la política de grupo de seguridad común. También puede elegir
grupos de seguridad como tipo de recurso. Los grupos de seguridad se consideran dentro del ámbito de la
política si están explícitamente dentro del ámbito o si están asociados con recursos que están dentro del
ámbito.
Firewall Manager solo utiliza un grupo de seguridad que utiliza para una política de grupo de seguridad
de auditoría de contenido como referencia de comparación para los grupos de seguridad incluidos en el
ámbito de la política. Firewall Manager no lo asocia con ningún recurso de su organización.
La forma en que defina las reglas en el grupo de seguridad de auditoría depende de su elección en la
configuración de reglas de la política para permitir o denegar el uso de las reglas:
• Si decide permitir el uso de las reglas, todos los grupos de seguridad dentro del ámbito solo deben
tener reglas que estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría de la
política. En este caso, las reglas de grupo de seguridad de la política proporcionan el ejemplo de lo que
es aceptable hacer.
Al crear una política de grupo de seguridad de auditoría, debe tener deshabilitada la corrección automática.
Se recomienda revisar los efectos de la creación de políticas antes de habilitar la corrección automática.
Después de revisar los efectos esperados, puede editar la política y habilitar la corrección automática.
Cuando la corrección automática está habilitada, Firewall Manager actualiza o quita reglas que no son
conformes de los grupos de seguridad dentro del ámbito.
Todos los grupos de seguridad de la organización creados por el cliente pueden incluirse en el ámbito de
una política de grupo de seguridad de auditoría.
Los grupos de seguridad de réplica no son creados por el cliente y, por lo tanto, no son aptos para incluirse
directamente en el ámbito de una política de grupo de seguridad de auditoría. Sin embargo, se pueden
actualizar como resultado de las actividades de corrección automática de la política. El grupo de seguridad
principal de una política de grupo de seguridad común es creado por el cliente y puede incluirse en el
ámbito de una política de grupo de seguridad de auditoría. Si una política de grupo de seguridad de
auditoría realiza cambios en un grupo de seguridad principal, Firewall Manager propaga automáticamente
esos cambios a las réplicas.
Para que los grupos de seguridad se consideren redundantes, deben tener exactamente las mismas
reglas establecidas y estar en la misma instancia de Amazon VPC. Para resolver un conjunto de grupos
de seguridad redundantes, Firewall Manager selecciona uno de los grupos de seguridad del conjunto para
conservarlo y, a continuación, lo asocia a todos los recursos asociados con los demás grupos de seguridad
del conjunto. A continuación, Firewall Manager disocia los demás grupos de seguridad de los recursos a
los que estaban asociados, lo que los deja sin utilizar.
Note
Si también ha elegido eliminar los grupos de seguridad no utilizados, Firewall Manager los elimina.
Esto puede dar lugar a la eliminación de los grupos de seguridad que están en el conjunto
redundante.
Para que se considere que los grupos de seguridad no se utilizan, deben permanecer sin que ningún
recurso los utilice durante el número mínimo de minutos especificados en la regla de la política. De forma
predeterminada, este número es cero. Puede darle una configuración mayor, para darle tiempo para
asociar los nuevos grupos de seguridad a los recursos. Firewall Manager corrige los grupos de seguridad
no utilizados al eliminarlos de su cuenta, según la configuración de sus reglas.
Para políticas de grupos de seguridad de auditoría de contenido o uso, comience con la corrección
automática deshabilitada. Revise la información de detalles de la política para determinar los efectos que
tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la
política y habilite la corrección automática.
Evite conflictos si también utiliza fuentes externas para administrar grupos de seguridad
Si utiliza una herramienta o servicio que no sea Firewall Manager para administrar los grupos de
seguridad, tenga cuidado de evitar conflictos entre su configuración en Firewall Manager y la configuración
en su fuente externa. Si utiliza la corrección automática y su configuración entra en conflicto, puede crear
un ciclo de corrección conflictiva que consuma recursos en ambos lados.
Por ejemplo, supongamos que configura que otro servicio mantenga un grupo de seguridad para un
conjunto de recursos de AWS y configura una política de Firewall Manager para que mantenga un grupo
de seguridad diferente para algunos o todos los mismos recursos. Si configura que cualquier parte no
permita que cualquier otro grupo de seguridad se asocie con los recursos dentro del ámbito, esa parte
eliminará la asociación del grupo de seguridad que mantiene la otra marte. Si ambas partes se configuran
de esta manera, puede acabar con un ciclo de asociaciones y desasociaciones conflictivas.
Además, supongamos que crea una política de auditoría de Firewall Manager para aplicar una
configuración de grupo de seguridad que entra en conflicto con la configuración de grupo de seguridad
del otro servicio. La corrección aplicada por la política de auditoría de Firewall Manager puede actualizar
o eliminar ese grupo de seguridad, lo que hace que esté fuera de la conformidad del otro servicio. Si el
otro servicio está configurado para supervisar y solucionar automáticamente cualquier problema que
encuentre, volverá a crear o actualizar el grupo de seguridad, haciendo de nuevo que esté fuera de la
conformidad con la política de auditoría de Firewall Manager. Si la política de auditoría de Firewall Manager
está configurada con corrección automática, volverá a actualizar o eliminar el grupo de seguridad externo,
etc.
Para evitar conflictos como estos, cree configuraciones que sean mutuamente excluyentes, entre Firewall
Manager y cualquier fuente externa.
Puede utilizar el etiquetado para excluir grupos de seguridad externos de la corrección automática por
parte de las políticas de Firewall Manager. Para ello, agregue una o más etiquetas a los grupos de
seguridad u otros recursos administrados por la fuente externa. A continuación, cuando defina el ámbito
de la política de Firewall Manager, en la especificación de recursos, excluya los recursos que tengan la
etiqueta o las etiquetas que haya agregado.
Del mismo modo, en su herramienta o servicio externo, excluya los grupos de seguridad que Firewall
Manager administra de cualquier actividad de administración o auditoría. O bien no importe los recursos
de Firewall Manager o use etiquetas específicas de Firewall Manager para excluirlos de la administración
externa.
Con las políticas de grupos de seguridad comunes de Firewall Manager, puede etiquetar solo las interfaces
de red elásticas de EC2 que necesita para comunicarse con instancias de otra Amazon VPC. Las otras
instancias en la misma Amazon VPC quedan entonces más seguras y aisladas.
Puede utilizar una política de grupo de seguridad común de Firewall Manager para proteger una Amazon
VPC pública, por ejemplo, para permitir solo el puerto de entrada 443. Esto es lo mismo que permitir el
tráfico HTTPS entrante para una VPC pública. Puede etiquetar recursos públicos dentro de la VPC (por
ejemplo, como "PublicVPC") y, a continuación, establecer el ámbito de la política de Firewall Manager en
solo los recursos con esa etiqueta. Firewall Manager aplica automáticamente la política a esos recursos.
Puede utilizar la misma política de grupo de seguridad común para recursos públicos que se recomienda
en el caso de uso anterior para instancias de Amazon VPC públicas accesibles por Internet. Puede
utilizar una segunda política de grupo de seguridad común para limitar la comunicación entre los recursos
públicos y los privados. Etiquete los recursos en las instancias de Amazon VPC públicas y privadas
con algo así como "PublicPrivate" para aplicarles la segunda política. Puede utilizar una tercera política
para definir la comunicación permitida entre los recursos privados y otras instancias de Amazon VPC
corporativas o privadas. Para esta política, puede utilizar otra etiqueta de identificación en los recursos
privados.
Puede utilizar una política de grupo de seguridad común para definir las comunicaciones entre la instancia
de Amazon VPC de concentrador y las instancias de Amazon VPC de radio. Puede utilizar una segunda
política para definir la comunicación desde cada instancia de Amazon VPC de radio a la instancia de
Amazon VPC de concentrador.
Puede utilizar una política de grupo de seguridad común para permitir únicamente comunicaciones
estándar, por ejemplo, servicios de actualización de parche/SO y SSH internos y para no permitir otras
comunicaciones inseguras.
Puede utilizar una política de grupo de seguridad de auditoría para identificar todos los recursos de la
organización que tienen permiso para comunicarse con direcciones IP públicas o que tienen direcciones IP
que pertenecen a proveedores externos.
Temas
• Paso 1: Designar una cuenta de administrador de Firewall Manager (p. 250)
• Paso 2: Crear un grupo de reglas a través de la cuenta de administrador de Firewall
Manager (p. 251)
• Paso 3: Crear una política de Firewall Manager y añadir el grupo de reglas comunes (p. 251)
• Paso 4: Añadir reglas específicas de la cuenta (p. 251)
• Conclusión (p. 251)
Puede utilizar la cuenta de administrador de Firewall Manager para crear un conjunto de reglas comunes
que se aplican a otras cuentas de la organización. Otras cuentas de la organización no pueden cambiar
estas reglas aplicadas de forma centralizada.
Para designar una cuenta como una cuenta de administrador de Firewall Manager y completar otros
requisitos previos para utilizar Firewall Manager, consulte las instrucciones en Requisitos previos de AWS
Firewall Manager (p. 221). Si ya ha completado los requisitos previos, puede ir al paso 2 de este tutorial.
En este tutorial, haremos referencia a este grupo de reglas del contenedor como Common-Rule-Group.
Para crear un grupo de reglas, consulte las instrucciones en Creación de un grupo de reglas (p. 233).
Recuerde iniciar sesión en la consola mediante su cuenta de administrador de Firewall Manager
(Firewall-Administrator-Account) al seguir estas instrucciones.
Para obtener instrucciones sobre cómo crear una política, consulte Creación de una política de AWS
Firewall Manager (p. 235).
Esto crea una ACL web en cada cuenta especificada y añade Common-Rule-Group a cada una de esas
ACL web. Después de crear la política, esta ACL web y las reglas comunes se implementan en todas las
cuentas especificadas.
En este tutorial, haremos referencia a esta ACL web como Administrator-Created-ACL. Ya existe
una Administrator-Created-ACL única en cada cuenta de miembro específica de la organización.
Para añadir reglas a Administrator-Created-ACL, consulte Edición de una ACL web (p. 20).
Conclusión
Ahora tiene una ACL web que contiene reglas comunes administrada por la cuenta de administrador de
Firewall Manager, así como las reglas específicas de la cuenta mantenidas por cada cuenta de miembro.
Para comprobar a qué recursos se está aplicando una política de AWS Firewall Manager (consola)
Cuando utiliza Centro de seguridad y Firewall Manager, Firewall Manager envía automáticamente sus
hallazgos a Centro de seguridad. Para obtener información acerca de cómo comenzar a usar Centro de
seguridad, consulte Configuración de AWS Security Hub en la Guía del usuario de AWS Security Hub.
Para ver sus hallazgos de Firewall Manager en Centro de seguridad, siga la orientación de Uso de
hallazgos en Centro de seguridad y cree un filtro con la configuración siguiente:
Puede desactivar la integración de los hallazgos de AWS Firewall Manager con Centro de seguridad a
través de la consola de Centro de seguridad. Elija Integrations (Integraciones) en la barra de navegación
y, a continuación, en el panel de Firewall Manager, elija Disable Integration (Deshabilitar integración). Para
obtener más información, consulte la Guía del usuario de AWS Security Hub.
Un recurso de AWS no tiene la asociación de ACL web administrada por AWS Firewall Manager de
acuerdo con la política de Firewall Manager. Puede habilitar la corrección de Firewall Manager en la
política para corregir esto.
• Gravedad: 80
• Configuración de estado: PASSED/FAILED
• Actualizaciones: si Firewall Manager realiza la acción de corrección, actualizará el hallazgo y la gravedad
bajará de HIGH a INFORMATIONAL. Si realiza la corrección, Firewall Manager no actualizará el hallazgo.
La ACL web administrada por Firewall Manager tiene grupos de reglas configurados incorrectamente.
Los grupos de reglas en una ACL web que está administrada por Firewall Manager no están configurados
correctamente, de acuerdo con la política de Firewall Manager. Esto significa que en la ACL web faltan los
grupos de reglas que la política requiere. Puede habilitar la corrección de Firewall Manager en la política
para corregir esto.
• Gravedad: 80
• Configuración de estado: PASSED/FAILED
• Actualizaciones: si Firewall Manager realiza la acción de corrección, actualizará el hallazgo y la gravedad
bajará de HIGH a INFORMATIONAL. Si realiza la corrección, Firewall Manager no actualizará el hallazgo.
Un recurso de AWS que debería tener protección Shield Advanced, según la política de Firewall Manager,
no la tiene. Puede habilitar la corrección de Firewall Manager en la política, lo que habilitará la protección
del recurso.
• Gravedad: 60
Shield Advanced ha detectado un ataque a un recurso de AWS protegido. Puede habilitar la corrección de
Firewall Manager en la política.
• Gravedad: 70
• Configuración de estado: ninguna
• Actualizaciones: Firewall Manager no actualiza este hallazgo.
Firewall Manager ha identificado un recurso al que le faltan las asociaciones de grupo de seguridad
administradas por Firewall Manager que debería tener, según la política de Firewall Manager. Puede
habilitar la corrección de Firewall Manager en la política, lo que crea las asociaciones según las opciones
de la política.
• Gravedad: 70
• Configuración de estado: PASSED/FAILED
• Actualizaciones: Firewall Manager actualiza este hallazgo.
La réplica de grupo de seguridad de Firewall Manager no está sincronizada con el grupo de seguridad
principal.
Una réplica de grupo de seguridad de Firewall Manager no está sincronizada con su grupo de seguridad
principal, según su política común de grupo de seguridad. Puede habilitar la corrección de Firewall
Manager en la política, lo que sincronizará los grupos de seguridad de réplica con el principal.
• Gravedad: 80
• Configuración de estado: PASSED/FAILED
• Actualizaciones: Firewall Manager actualiza este hallazgo.
Una política de auditoría de contenido del grupo de seguridad de Firewall Manager ha identificado un
grupo de seguridad que no es conforme. Se trata de un grupo de seguridad creado por el cliente que se
encuentra en el ámbito de la política de auditoría de contenido y que no es conforme con la configuración
• Gravedad: 70
• Configuración de estado: PASSED/FAILED
• Actualizaciones: Firewall Manager actualiza este hallazgo.
La auditoría de uso del grupo de seguridad de Firewall Manager ha identificado un grupo de seguridad
redundante. Se trata de un grupo de seguridad con un conjunto de reglas idénticas a las de otro grupo
de seguridad en la misma instancia de Amazon Virtual Private Cloud. Puede habilitar la corrección
automática de Firewall Manager en la política de auditoría de uso, lo que reemplaza los grupos de
seguridad redundantes por un único grupo de seguridad.
• Gravedad: 30
• Configuración de estado: ninguna
• Actualizaciones: Firewall Manager no actualiza este hallazgo.
La auditoría de uso del grupo de seguridad de Firewall Manager ha identificado un grupo de seguridad no
usado. Se trata de un grupo de seguridad al que no hace referencia ninguna política común de grupo de
seguridad de Firewall Manager. Puede habilitar la reparación automática de Firewall Manager en la política
de auditoría de uso, lo que elimina los grupos de seguridad no utilizados.
• Gravedad: 30
• Configuración de estado: ninguna
• Actualizaciones: Firewall Manager no actualiza este hallazgo.
Si designa una cuenta como la cuenta de administrador y posteriormente desea designar una cuenta
diferente como tal, siga el procedimiento que se indica a continuación.
Important
Para designar una cuenta diferente, primero debe revocar los privilegios de administrador de
la cuenta de administrador actual. Si revoca los privilegios, se eliminarán todas las políticas de
Para designar una cuenta diferente como la cuenta de administrador de AWS Firewall Manager
(consola)
A la cuenta se le concede permiso para crear y administrar reglas de AWS WAF Classic en
todas las cuentas dentro de la organización.
9. Elija Set administrator (Configurar administrador).
• AWS revocará el acceso de administrador de la cuenta de Firewall Manager. Después de que AWS
revoque el acceso de administrador de la cuenta de Firewall Manager, todas las políticas de Firewall
Manager que se aplicaban a las cuentas controladas por la cuenta de administrador se desactivarán y
esta protección de política ya no se aplicará a ninguna de estas cuentas.
• AWS conservará los datos de la política de Firewall Manager de la cuenta durante 90 días a partir de
la fecha de entrada en vigor del cierre de su cuenta de administrador. Si decide volver a abrir la cuenta
cerrada anteriormente durante este periodo de 90 días, AWS reasignará la cuenta como administrador
de Firewall Manager y recuperará los datos de la política de Firewall Manager anterior de la cuenta.
• Cuando finalice el periodo de 90 días, si la cuenta cerrada no se ha vuelto a abrir, AWS eliminará
permanentemente todos los datos de la política de Firewall Manager para esa cuenta.
Versión de API 2019-07-29
256
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Seguridad
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando
se utiliza Firewall Manager. En los siguientes temas, se le mostrará cómo configurar Firewall Manager para
satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de
AWS que le ayudan a supervisar y proteger sus recursos de Firewall Manager.
Temas
• Protección de los datos en Firewall Manager (p. 257)
• Identity and Access Management en AWS Firewall Manager (p. 258)
• Registro y monitorización en Firewall Manager (p. 268)
• Validación de la conformidad en Firewall Manager (p. 269)
• Resiliencia en Firewall Manager (p. 269)
• Seguridad de la infraestructura en AWS Firewall Manager (p. 270)
Las entidades de Firewall Manager (como las políticas) se cifran en reposo. Para cada región se utilizan
claves de cifrado únicas.
Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS y
configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que
a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. También
le recomendamos proteger sus datos de las siguientes formas:
• Configure la API y el registro de actividad del usuario con AWS CloudTrail. Consulte la Referencia de la
API de AWS CloudTrail.
• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados
dentro de los servicios de AWS.
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo
de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.
Autenticación
Puede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS: Cuando se crea por primera vez una cuenta de AWS, se comienza
con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos
de AWS de la cuenta. Esta identidad recibe el nombre de AWS de la cuenta de usuario raíz y se obtiene
acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para
crear la cuenta. Le recomendamos que no utilice usuario raíz en sus tareas cotidianas, ni siquiera
en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar
exclusivamente usuario raíz para crear el primer usuario de IAM. A continuación, guarde las credenciales
de usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración de
cuentas y servicios.
• Usuario de IAM: –un usuario de IAM es una identidad dentro de una cuenta de AWS que tiene permisos
personalizados específicos (por ejemplo, permisos para crear un una regla en Firewall Manager). Puede
utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras
de AWS, como la Consola de administración de AWS, los foros de debate de AWS o el AWS Support
Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para
cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación, ya
sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las
herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza las
herramientas de AWS, debe firmar usted mismo la solicitud. Firewall Manager admite Signature Version
4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acerca
• Rol de IAM–: Los roles de IAM de Un rol de IAM es una identidad de IAM con permisos específicos
que puede crear en su cuenta. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una
identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no en
AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier
usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo
plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este
proporciona credenciales de seguridad temporales para la sesión de rol. con credenciales temporales
son útiles en las siguientes situaciones:
• Acceso de usuarios federados: – En lugar de crear un usuario de IAM, puede utilizar identidades
existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de
identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a
un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener
más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del
usuario de IAM.
• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizar
acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,
debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos que
son necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles de
servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando
se cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solo
dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede
crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permita
a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar
los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte
Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: – Puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan
solicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves de
acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición
de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia
contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales
temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a
aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de acceso
Aunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear los
recursos de AWS Firewall Manager ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear
una política de Firewall Manager.
En las secciones siguientes se describe cómo administrar los permisos de AWS Firewall Manager. Le
recomendamos que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS Firewall
Manager (p. 260)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS Firewall Manager (p. 264)
• Permisos necesarios de Firewall Manager para las acciones de la API (p. 266)
Por ejemplo, puede utilizar IAM con Firewall Manager para controlar qué usuarios de su cuenta de AWS
pueden crear una política nueva.
Para obtener más información general sobre IAM, consulte la siguiente documentación:
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen
permisos y qué operaciones específicas desea permitir en esos recursos.
Temas
• Recursos y operaciones de AWS Firewall Manager (p. 260)
• Titularidad de los recursos (p. 261)
• Administración del acceso a los recursos (p. 261)
• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 263)
• Especificación de las condiciones de una política (p. 263)
Para permitir o denegar el acceso a un subconjunto de recursos de Firewall Manager, incluya el ARN del
recurso en el elemento resource de la política. Los ARN de Firewall Manager tienen el siguiente formato:
arn:aws:wafv2:region:account:resource/ID
Sustituya las variables account, resource e ID por valores válidos. Los valores válidos pueden ser los
siguientes:
Por ejemplo, el siguiente ARN especifica todas las políticas de la cuenta 111122223333 en la región us-
east-1:
arn:aws:wafv2:us-east-1:111122223333:policy/*
Para obtener más información, consulte Recursos en la Guía del usuario de IAM.
AWS Firewall Manager proporciona un conjunto de operaciones para trabajar con recursos de Firewall
Manager. Para obtener una lista de operaciones disponibles, consulte Acciones.
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de Firewall
Manager, su cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de Firewall
Manager, el usuario podrá crear un recurso de Firewall Manager. Sin embargo, su cuenta de AWS, a la
que pertenece el usuario, será la propietaria del recurso de Firewall Manager.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de Firewall Manager,
cualquier persona que pueda asumir el rol podrá crear un recurso de Firewall Manager. Sin embargo, su
cuenta de AWS, a la que pertenece el rol, será la propietaria del recurso de Firewall Manager.
consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la
sintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas de AWS IAM en
la Guía del usuario de IAM.
Las políticas de IAM asociadas a una identidad de IAM se conocen como políticas basadas en identidad
y las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS Firewall
Manager solo admite políticas basadas en identidad.
Temas
Si desea obtener más información sobre el uso de IAM para delegar permisos, consulte Administración
de accesos en la Guía del usuario de IAM.
A continuación se presenta un ejemplo de política que concede permisos para la acción fms:GetPolicy
en todas las políticas en dos regiones específicas.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "fms:GetPolicy",
"Resource": [
"arn:aws:fms:us-east-1:*:policy/*",
"arn:aws:fms:us-west-2:*:policy/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
Para obtener más información acerca del uso de políticas basadas en identidad con Firewall Manager,
consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Firewall Manager (p. 264).
Para obtener más información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades
(usuarios, grupos y roles) en la Guía del usuario de IAM.
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por
ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho
bucket. AWS Firewall Manager no admite políticas basadas en recursos.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al
que se aplican. Para obtener más información, consulte Recursos y operaciones de AWS Firewall
Manager (p. 260).
• Acción – utilice palabras clave de acción para identificar las operaciones del recurso que desea
permitir o denegar. Por ejemplo, con el permiso fms:CreatePolicy, junto con el permiso
waf:ListRuleGroups, los usuarios pueden realizar la operación CreatePolicy de AWS Firewall
Manager.
• Efecto–: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se
puede permitir o denegar. Si no concede acceso de forma explícita a un recurso, el acceso se deniega
implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que
un usuario no pueda tener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se asocia
esta política es la entidad principal implícita. AWS Firewall Manager no admite las políticas basadas en
recursos.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte
Referencia de políticas de AWS IAM en la Guía del usuario de IAM.
Para ver una tabla de todas las acciones de la API de AWS Firewall Manager y los recursos a los que se
aplican, consulte Permisos necesarios de Firewall Manager para las acciones de la API (p. 266).
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición
específicas para Firewall Manager. No obstante, existen claves de condición que se aplican a todo AWS
que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte
Claves disponibles para condiciones en la Guía del usuario de IAM.
Le recomendamos que consulte primero los temas de introducción en los que se explican los
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de
AWS Firewall Manager. Para obtener más información, consulte Información general sobre la
administración de los permisos de acceso a los recursos de AWS Firewall Manager (p. 260).
Para ver una tabla de todas las acciones de la API de AWS Firewall Manager y los recursos a los que se
aplican, consulte Permisos necesarios de Firewall Manager para las acciones de la API (p. 266).
Temas
• Permisos necesarios para usar la consola de AWS Firewall Manager (p. 264)
• Políticas administradas (predefinidas) de AWS para AWS Firewall Manager (p. 264)
• Ejemplos de políticas administradas por el cliente (p. 265)
Las siguientes políticas administradas de AWS, que puede asociar a los usuarios de su cuenta, son
específicas de AWS Firewall Manager y se agrupan según los escenarios de caso de uso:
Note
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las
políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos para
operaciones y recursos de API de AWS Firewall Manager. Puede asociar estas políticas personalizadas a
los usuarios o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles
de IAM) que crea para sus recursos de Firewall Manager.
Puede utilizar la consola para comprobar los efectos de cada política a medida que asocia la política
al usuario. En un primer momento, como el usuario no tiene permisos, no puede hacer nada más en la
consola. Cuando asocia políticas al usuario, puede comprobar que el usuario puede realizar diversas
operaciones en la consola.
Le recomendamos que utilice dos ventanas del navegador: una para crear el usuario y concederle
permisos y otra para iniciar sesión en la Consola de administración de AWS con las credenciales de
usuario y comprobar los permisos a medida que se los concede al usuario.
Para ver ejemplos que ilustran cómo crear un rol de IAM que puede utilizar como rol de ejecución en el
recurso de Firewall Manager, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo: conceder al usuario administrador acceso de solo lectura a los grupos de seguridad de Firewall
Manager (p. 265)
En primer lugar, cree un usuario de IAM, añádalo a un grupo de IAM con permisos administrativos y, a
continuación, conceda permisos administrativos al usuario de IAM que ha creado. Ahora, puede acceder a
AWS mediante una URL especial y las credenciales de usuario.
Para obtener instrucciones, consulte Creación del primer grupo de usuarios y administradores de IAM en la
Guía del usuario de IAM.
Ejemplo: conceder al usuario administrador acceso de solo lectura a los grupos de seguridad de
Firewall Manager
La siguiente política concede a los usuarios administradores acceso de solo lectura a los grupos y políticas
de seguridad de Firewall Manager. Estos usuarios no pueden crear, actualizar ni eliminar recursos de
Firewall Manager.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"fms:Get*",
"fms:List*",
"ec2:DescribeSecurityGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Para especificar una acción, use el prefijo fms: seguido del nombre de operación de la API (por
ejemplo, fms:CreatePolicy).
En este tema solo se enumeran las acciones que requieren permisos a nivel de recursos
explícitos.
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS Firewall Manager
para expresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves
disponibles para condiciones en la Guía del usuario de IAM.
Para usar las siguientes acciones de la API de Firewall Manager, necesita permisos en el recurso:
arn:aws:fms:region:account:policy/ID.
• DeletePolicy
• GetComplianceDetail
• GetPolicy
• GetProtectionStatus
• ListComplianceStatus
• PutPolicy
Para obtener más información acerca de las acciones y los recursos de Firewall Manager, consulte el tema
de la guía de AWS Identity and Access Management Acciones definidas por AWS Firewall Manager.
Para obtener la lista completa de las acciones de la API disponibles para Firewall Manager, consulte
Referencia de la API de AWS Firewall Manager.
Con una función vinculada a servicios, resulta más sencillo configurar Firewall Manager, porque no es
preciso agregar los permisos necesarios manualmente. Firewall Manager define los permisos de las
funciones vinculadas con su propio servicio y, a menos que esté definido de otra manera, solo Firewall
Manager puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política
de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol.
De esta forma, se protegen los recursos de Firewall Manager, ya que se evita que se puedan eliminar
accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios
de AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado a
servicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al
servicio en cuestión.
AWS Firewall Manager utiliza este rol vinculado a servicios para escribir registros en Amazon Kinesis Data
Firehose. Este rol solo se utiliza si habilita la escritura de registros en AWS Firewall Manager. Para obtener
más información, consulte Registro de información del tráfico de la ACL web (p. 55).
Las políticas de permisos del rol permiten que Firewall Manager realice las siguientes acciones en los
recursos especificados:
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,
editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte
Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para
volver a crear el rol en su cuenta. Al habilitar los registros de Firewall Manager, Firewall Manager se
encarga de volver crear automáticamente el rol vinculado al servicio.
Si el servicio Firewall Manager está utilizando el rol cuando intenta eliminar los recursos, la
eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la
operación.
Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicio
FMSServiceRolePolicy. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en
la Guía del usuario de IAM.
Con las alarmas de CloudWatch, puede ver una métrica determinada durante el periodo especificado.
Si la métrica supera un determinado umbral, CloudWatch envía una notificación a un tema de Amazon
SNS o política de AWS Auto Scaling. Para obtener más información, consulte Monitorear con Amazon
CloudWatch (p. 306).
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de
AWS en Firewall Manager. Mediante la información que recopila CloudTrail, se puede determinar la
solicitud que se envió a Firewall Manager, la dirección IP desde la que se realizó la solicitud, quién
realizó la solicitud, cuándo la realizó y detalles adicionales. Para obtener más información, consulte
Registro de llamadas a la API con AWS CloudTrail (p. 311).
AWS Trusted Advisor
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de
clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuando
surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar
a cerrar deficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones
de Trusted Advisor. Los clientes con un plan de soporte Business o Enterprise pueden ver todas las
comprobaciones de Trusted Advisor. Para obtener más información, consulte AWS Trusted Advisor.
Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,
consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,
consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más
información, consulte la sección Descarga de informes en AWS Artifact.
zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las
infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las zonas de disponibilidad y las regiones de AWS, consulte
Infraestructura global de AWS.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Firewall Manager a través de
la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con
conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)
o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y
posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso
secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token
Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
AWS Firewall Manager tiene cuotas predeterminadas del número de entidades por cuenta. Puede solicitar
un aumento de dichas cuotas.
Recurso Cuota
predeterminada
Etiquetas que incluyen o excluyen los recursos por política de Firewall Manager 8
Recurso Cuota
predeterminada
Las políticas de grupos de seguridad administradas por Firewall Manager están sujetas a cuotas de
Amazon VPC estándar. Para obtener más información, consulte Cuotas de Amazon VPC en la Guía del
usuario de Amazon VPC.
Las siguientes cuotas relacionadas con AWS Firewall Manager no se pueden cambiar.
Recurso Quota
AWS Shield
AWS proporciona AWS Shield Standard y AWS Shield Advanced para proteger frente a ataques de
DDoS. AWS Shield Standard se incluye automáticamente sin costo adicional alguno, aparte de lo que ya
haya pagado por AWS WAF y los demás servicios de AWS. Para disfrutar de mayor protección frente a
los ataques DDoS, AWS ofrece AWS Shield Advanced. AWS Shield Advanced proporciona protección
ampliada contra ataques DDoS a las instancias de Amazon Elastic Compute Cloud, balanceadores de
carga de Elastic Load Balancing, distribuciones de Amazon CloudFront, zonas alojadas en Amazon
Route 53 y aceleradores de AWS Global Accelerator.
Temas
• Funcionamiento de AWS Shield (p. 272)
• Casos de uso de AWS Shield Advanced de ejemplo (p. 277)
• Precios de AWS Shield Advanced (p. 278)
• Introducción a AWS Shield Advanced (p. 278)
• Añadir protección de AWS Shield Advanced a más recursos de AWS (p. 284)
• Eliminación de AWS Shield Advanced desde un recurso de AWS (p. 286)
• Administración de protecciones de AWS Shield Advanced (p. 286)
• Edición de la configuración de AWS Shield Advanced (p. 288)
• AWS Shield Advanced: Solicitando un crédito (p. 288)
• Seguridad en AWS Shield (p. 289)
• Cuotas de AWS Shield Advanced (p. 302)
AWS ofrece dos niveles de protección frente a los ataques DDoS: AWS Shield Standard y AWS Shield
Advanced.
Como ejemplo de esta protección ampliada, si utiliza Shield Advanced para proteger una dirección IP
elástica;, durante un ataque Shield Advanced implementará automáticamente sus ACL de red en la
frontera de la red de AWS, lo que permite a Shield Advanced; ofrecer protección frente a eventos DDoS
más grandes. Normalmente, las ACL de red se aplican cerca de sus instancias de Amazon EC2 dentro
de su Amazon VPC. La ACL de red puede mitigar ataques tan grandes como el volumen que puedan
gestionar la instancia y Amazon VPC. Por ejemplo, si la interfaz de red asociada a la instancia de Amazon
EC2 puede procesar hasta 10 Gbps, los volúmenes superiores a 10 Gbps ralentizarán y, posiblemente,
bloquearán el tráfico a dicha instancia. Durante un ataque, Shield Advanced promueve la ACL de red a la
frontera de AWS, lo que permite procesar varios terabytes de tráfico. Su ACL de red puede proporcionar
protección a sus recursos más allá de la capacidad normal de su red. Para obtener más información
acerca de las ACL de red, consulte ACL de red.
Como cliente de AWS Shield Advanced, puede contactar con un equipo de respuesta a ataques DDoS
(DRT) las 24 horas del día, 7 días a la semana, para obtener ayuda durante un ataque DDoS. También
tiene acceso exclusivo a métricas e informes avanzados en tiempo real para dar amplia cobertura a los
ataques a sus recursos de AWS. Con la ayuda del DRT, AWS Shield Advanced incluye la detección
inteligente de ataques DDoS y la mitigación no solo de los ataques que se producen en la capa de red
(capa 3) y transporte (capa 4), sino también de los ataques que se producen en la capa de aplicación
(capa 7).
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el plan
Enterprise Support.
AWS Shield Advanced también ofrece protección de costos frente a picos en su factura de AWS que
podrían surgir a partir de un ataque DDoS. Dicha protección de costos se ofrece para sus balanceadores
de carga de Elastic Load Balancing, distribuciones de Amazon CloudFront, zonas alojadas de Amazon
Route 53, instancias de Amazon Elastic Compute Cloud y aceleradores de AWS Global Accelerator.
AWS WAF se incluye con AWS Shield Advanced gratuitamente. Para obtener más información sobre los
precios de AWS Shield Advanced, consulte Precios de AWS Shield Advanced.
Un atacante puede suplantar el origen de una solicitud y usar el UDP para obtener una respuesta
grande del servidor. El tráfico de red adicional dirigido hacia la dirección IP suplantada y atacada
puede ralentizar el servidor de destino e impedir que los usuarios legítimos obtengan acceso a los
recursos necesarios.
Inundación SYN
En una inundación de consultas DNS, un atacante usa varias consultas DNS para agotar los recursos
de un servidor DNS. AWS Shield Advanced puede ayudarle a ofrecer protección frente a ataques de
inundación de consultas DNS en servidores DNS de Route 53.
Ataques de inundación HTTP o ruptura de la caché (capa 7)
Con una inundación HTTP, incluidas las inundaciones GET y POST, un atacante envía varias
solicitudes HTTP que parecen ser de un usuario real de la aplicación web. Los ataques de ruptura de
la caché son un tipo de inundación HTTP que usa variaciones en la cadena de consulta de la solicitud
HTTP que impiden el uso de contenido almacenado en caché con ubicación de borde y fuerza la
En cuanto a los ataques de las capas 3 y 4, AWS proporciona detección de ataques automática y aplica
mitigaciones en su nombre de forma proactiva. En lo referente a los ataques DDoS de la capa 7, AWS
intenta detectar e informar a los clientes de AWS Shield Advanced a través de alarmas de CloudWatch,
pero no aplica mitigaciones de forma proactiva. De este modo se evita que el tráfico de los usuarios válidos
disminuya inadvertidamente.
También puede ponerse en contacto con el DRT antes o durante un posible ataque para desarrollar e
implementar medidas personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener
abiertos los puertos 80 y 443, puede trabajar con el DRT para preconfigurar una ACL que permita ("Allow")
únicamente los puertos 80 y 443.
Los clientes de AWS Shield Advanced tienen dos opciones para mitigar los ataques de la capa 7:
• Proporcionar sus propias mitigaciones: AWS WAF se incluye con AWS Shield Advanced gratuitamente.
YPuede crear sus propias reglas de AWS WAF para mitigar los ataques DDoS. AWS proporciona
plantillas preconfiguradas para comenzar rápidamente. Las plantillas incluyen un conjunto de reglas de
AWS WAF diseñadas para bloquear ataques comunes desde Internet. Puede personalizar las plantillas
para adaptarse a las necesidades de su negocio. Para obtener más información, consulte AWS WAF
Security Automations (Automatizaciones de seguridad de AWS WAF).
En este caso, el DRT no está implicado. No obstante, puede interactuar con el DRT para obtener
instrucciones sobre cómo implementar prácticas recomendadas tales como las protecciones habituales
de AWS WAF.
• Interactuar con el DRT: si desea soporte adicional para abordar un ataque, puede contactar con el
AWS Support Center. Los casos críticos y urgentes se redirigen directamente a expertos DDoS. Con
AWS Shield Advanced, pueden escalarse casos complejos al DRT, que tiene amplia experiencia en la
protección de AWS, Amazon.com y sus filiales. Si es cliente de AWS Shield Advanced, también puede
solicitar instrucciones de control especiales para casos de gravedad alta.
El tiempo de respuesta de su caso depende de la gravedad que seleccione y los tiempos de respuesta,
que están documentados en la página Planes de soporte de AWS.
El DRT le ayuda a clasificar el ataque DDoS para identificar firmas y patrones de ataque. Con su
consentimiento, el DRT crea e implementa reglas de AWS WAF para mitigar el ataque.
Si AWS Shield Advanced detecta un importante ataque de la capa 7 contra una de sus aplicaciones,
es posible que el DRT le contacte de forma proactiva. El DRT clasifica el incidente de DDoS y crea
mitigaciones de AWS WAF. Es entonces cuando el DRT le contacta solicitando su consentimiento para
aplicar las reglas de AWS WAF.
Important
El DRT puede ayudarle a analizar la actividad sospechosa y mitigar el problema. Esta mitigación
suele requerir la creación o actualización por parte del DRT de listas de control de acceso web
(ACL web) en su cuenta. Sin embargo, necesitan su permiso para hacerlo. Recomendamos que,
como parte de la habilitación de AWS Shield Advanced, siga los pasos en Paso 4: (Opcional)
Autorizar al equipo de respuesta a ataques DDoS (p. 282) para proporcionar al DRT de forma
proactiva los permisos necesarios. Proporcionar permiso de antemano ayuda a evitar retrasos si
se produce un ataque real.
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el
plan Enterprise Support.
Si su negocio o industria es un objetivo probable de ataques DDoS o si prefiere permitir que AWS asuma
la mayoría de las responsabilidades de protección y mitigación de ataques DDoS relacionadas con los
ataques de las capas 3, 4 y 7, AWS Shield Advanced puede ser la mejor opción. AWS Shield Advanced no
solo proporciona mitigación y protección de las capas 3 y 4, sino que además incluye AWS WAF sin costo
adicional y ayuda del DRT con los ataques de la capa 7. Si usa AWS WAF y AWS Shield Standard, debe
diseñar sus propios procesos de mitigación y protección de la capa 7.
Los clientes de AWS Shield Advanced también se benefician de la información detallada acerca de
los ataques DDoS contra sus recursos de AWS. Aunque AWS Shield Standard proporciona protección
automática frente a los ataques de las capas 3 y 4 más habituales, la información acerca de los detalles de
esos ataques es limitada AWS Shield Advanced le proporciona numerosos datos acerca de los detalles de
los ataques DDoS de las capas 3, 4 y 7.
AWS Shield Advanced también ofrece protección de costos frente a los ataques DDoS contra sus recursos
de AWS. Esta útil característica ayuda a impedir que haya picos inesperados en la factura provocados
por los ataques DDoS. Si la previsibilidad de los costos es importante para usted, AWS Shield Advanced
puede ofrecer esa estabilidad.
En la tabla siguiente se muestra una comparación entre AWS Shield Standard y AWS Shield Advanced.
Active Monitoring
Monitorización de Sí Sí
flujo de red
Detección siempre Sí Sí
activa automática
Monitorización Sí
de tráfico de
la aplicación
automatizada
(capa 7)
DDoS Mitigations
Ayuda a proteger Sí Sí
frente a ataques
DDoS habituales,
como ataques
Acceso a Sí
capacidad de
mitigación de
DDoS adicional,
incluida la
implementación
automática de
ACL de red en la
frontera de AWS
durante un ataque
Mitigaciones en Sí, a través de Sí, a través de ACL de AWS WAF creadas por el usuario o
la capa de la ACL de AWS WAF el DRT. Incluido como parte de la suscripción a AWS Shield
aplicación (capa 7) creadas por el Advanced.
personalizadas usuario. Genera
costos de AWS
WAF estándar.
Notificación de Sí
ataque en las
capas 3 y 4
Informes forenses Sí
de ataques en
las capas 3 y 4
(dirección IP de
origen, vector de
ataque, etc.)
Informe histórico Sí
de ataques en las
capas 3, 4 y 7
DDoS Response Team Support (Must be subscribed to the Business Support plan or the Enterprise
Support plan.
Administración Sí
de incidencias
durante eventos de
gravedad alta
Mitigaciones Sí
personalizadas
durante ataques
Análisis posterior Sí
al ataque
Route 53 Sí
CloudFront Sí
Elastic Load Sí
Balancing (ELB)
Amazon EC2 Sí
Los beneficios de AWS Shield Advanced, incluida la protección de costos de DDoS, están sujetos al
cumplimiento del compromiso de suscripción de 1 año.
Note
Aunque AWS Shield Standard y AWS Shield Advanced proporcionan protección de alto nivel
frente a los ataques DDoS, recomendamos que también use Amazon CloudWatch y AWS
CloudTrail para monitorizar todos sus servicios de AWS. Para obtener más información acerca de
la monitorización de AWS WAF mediante CloudWatch y CloudTrail, consulte Monitorización de
AWS WAF, AWS Firewall Manager y AWS Shield Advanced (p. 304) y Registro de llamadas a la
API con AWS CloudTrail (p. 311).
ofrecer la mejor protección. A continuación se muestran ejemplos de cómo utilizar Shield Advanced u otros
servicios de AWS para ayudarle a proteger sus recursos.
Proteger una aplicación web y Shield Advanced que protege Documentación de Amazon
las API RESTful frente a ataques una distribución Amazon Elastic Load Balancing,
DDoS CloudFront y un Balanceador de Documentación de Amazon
carga de aplicaciones CloudFront
Proteger una aplicación basada Shield Advanced que protege Documentación de Amazon
en TCP frente a un ataque DDoS un Balanceador de carga de Elastic Load Balancing
red asociado a una dirección IP
elástica
Los precios de AWS Shield Advanced se detallan en la página Precios de AWS Shield Advanced. AWS
Shield Advanced tiene un costo adicional, pero los clientes de AWS Shield Advanced no pagan más por
AWS WAF por los recursos que protegen con AWS Shield Advanced. La protección de dichos recursos
se incluye como parte del servicio AWS Shield Advanced. Además, el costo de AWS Shield Advanced no
aumenta con relación al volumen de los ataques. Esto proporciona un costo previsible de la protección
ampliada.
La tarifa de AWS Shield Advanced se aplica a todos los negocios que estén suscritos a AWS Shield
Advanced. Si su negocio tiene varias cuentas de AWS, solo paga una cuota mensual por Shield Advanced
siempre que todas las cuentas de AWS se encuentren en la misma familia de cuentas de facturación
unificada. Además, tiene que ser el propietario de todas las cuentas de AWS y los recursos de la cuenta.
Sin embargo, los distribuidores de canal de AWS pagarán una cuota mensual independiente por cada
cuenta miembro. Los distribuidores de canal de AWS que vuelven a vender AWS Shield Advanced a
clientes con más de una cuenta miembro pueden contactar con nosotros para obtener asistencia adiciona
para la facturación. Con respecto a este tipo de revendedores de canal de AWS, AWS se reserva el
derecho a modificar la cuota mensual de AWS Shield Advanced. Para obtener más información, consulte la
Página de precios de AWS Shield Advanced.
Temas
• Paso 1: activar AWS Shield Advanced (p. 279)
• Paso 2: Especifique los recursos que desea proteger. (p. 280)
• Paso 3: Añadir reglas basadas en frecuencia (p. 281)
• Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques DDoS (p. 282)
• Paso 5: Configurar una alarma de Amazon CloudWatch (p. 283)
• Paso 6: Implementar reglas de AWS WAF (p. 283)
• Paso 7: Monitoree el panel del entorno de amenazas globales. (p. 284)
Tiene que activar Shield Advanced para cada cuenta de AWS que desea proteger. Si desea
activar Shield Advanced en varias cuentas, le recomendamos que utilice AWS Firewall Manager.
Para obtener más información, consulte Introducción a AWS Firewall Manager para habilitar la
protección de AWS Shield Advanced (p. 225).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si es la primera vez que inicia sesión en la consola de AWS WAF, elija Go to Shield (Ir a Shield) y, a
continuación, elija Activate AWS Shield Advanced (Activar AWS Shield Advanced). O bien en el panel
de navegación, en AWS Shield, elija Protected resources (Recursos protegidos).
3. Lea cada término del acuerdo y, a continuación, seleccione cada casilla para indicar que acepta los
términos. Para poder continuar debe seleccionar todas las casillas.
4. Elija Activate service (Activar servicio).
Important
Al elegir Activate service (Activar servicio), se suscribe a Shield Advanced y activa el servicio.
Para cancelar la suscripción, póngase en contacto con AWS Support.
Ahora puede ir al Paso 2: Especifique los recursos que desea proteger. (p. 280).
Si activa Shield Advanced para varias cuentas que están en la misma familia de cuentas de facturación
unificada, la cuota de suscripción mensual cubre todas esas cuentas. No hay que pagar tarifas de
suscripción adicionales para las cuentas individuales. Tiene que ser el propietario de todas las cuentas de
AWS y los recursos de la cuenta.
Note
Los distribuidores de canal de AWS pagan una cuota mensual independiente por cada cuenta
miembro. Los distribuidores de canal de AWS que vuelven a vender AWS Shield Advanced a
clientes con más de una cuenta miembro pueden contactar con nosotros para obtener asistencia
adicional para la facturación. Con respecto a este tipo de revendedores de canal de AWS, AWS
se reserva el derecho a modificar la cuota mensual de AWS Shield Advanced. Para obtener más
información, consulte la Página de precios de AWS Shield Advanced.
La primera vez que active Shield Advanced desde una cuenta, se le presentará un acuerdo de precios.
El acuerdo de precios se muestra en la consola cada vez que activa Shield Advanced desde una cuenta
diferente. El acuerdo de precios abarca todas las cuentas activadas en una familia de facturación unificada,
pero usted debe aceptar los términos cada vez que active una cuenta.
Ahora puede ir al Paso 2: Especifique los recursos que desea proteger. (p. 280).
Si ha utilizado AWS Firewall Manager para crear una política de Firewall Manager-Shield Advanced, no es
necesario realizar este paso. Ya ha especificado sus recursos en la política.
1. Elija los recursos que se protegerán. En el caso de los balanceadores de carga o las direcciones IP
elásticas también debe elegir una región.
Puede elegir en la lista desplegable o escribir el nombre de recurso de Amazon (ARN) de los recursos
específicos que quiere proteger. Puede elegir o escribir cualquier combinación de tipos de recursos y
recursos. Si escribe un ARN, el ARN debe estar en la misma cuenta en la que está trabajando.
Shield Advanced muestra un máximo de 100 recursos al mismo tiempo. Si tiene más de 100 recursos,
elija Next (Siguiente) para ver el siguiente tramo de lista.
Note
• Si desea proteger una instancia Amazon EC2, primero debe asociar una dirección IP
elástica a la instancia y, a continuación, elegir la dirección IP elástica como el recurso que
desea proteger.
• Si elige una dirección IP elástica como el recurso que desea proteger, Shield Advanced
protege cualquier recurso asociado a la dirección IP elástica, ya sea una instancia de
Amazon EC2 o un balanceador de carga de Elastic Load Balancing. Shield Advanced
identifica automáticamente el tipo de recurso que está asociado a la dirección IP elástica
y aplica las medidas adecuadas para dicho recurso, Esto incluye la configuración de
las ACL de red que son específicas para dicha dirección IP elástica. Para obtener más
información sobre el uso de direcciones IP elásticas con sus recursos de AWS, consulte la
guía apropiada: Documentación de Amazon Elastic Compute Cloud o Documentation de
Elastic Load Balancing.
• Shield Advanced no es compatible con EC2-Classic.
Puede seguir desde este paso sin elegir ningún recurso. Sin embargo, si sigue de esta manera, más
adelante tendrá que añadir recursos, tal y como se describe en Añadir protección de AWS Shield
Advanced a más recursos de AWS (p. 284). Shield Advanced no protege los recursos de manera
automática; debe especificar los recursos que desea proteger.
Versión de API 2019-07-29
280
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Paso 3: Añadir reglas basadas en frecuencia
Si ha utilizado AWS Firewall Manager para crear una política de Firewall Manager-Shield
Advanced, no siga este paso. Firewall Manager no es compatible con las reglas basadas en
frecuencia.
1. Para cada recurso que aparece en la tabla, elija una ACL web existente o, como alternativa, cree otra
ACL web. Para crear una ACL web, siga estos pasos:
Note
Si un recurso ya está asociado a una ACL web, no puede cambiar a otra ACL web. Si desea
cambiar la ACL, primero debe eliminar las ACL web asociadas desde el recurso mediante la
consola AWS WAF. Para obtener más información, consulte Asociación o desasociación de
una ACL web con un recurso de AWS (p. 19).
Solo las distribuciones de Amazon CloudFront y Application Load Balancers se incluirán en
la tabla. No puede asociar las ACL web y las reglas basadas en frecuencia a otros tipos de
recursos.
2. Para cada recurso que aparece en la tabla, elija una regla basada en frecuencia. Como alternativa,
puede crear una regla basada en frecuencia diferente siguiendo los pasos que se indican a
continuación:
Si no desea aplicar una regla basada en frecuencia a una protección específica, puede elegir Do not
apply rule (No aplicar regla) de la lista desplegable.
3. Elija Continue.
Ahora puede ir al Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques DDoS (p. 282).
Si no desea autorizar al DRT a mitigar en su nombre posibles ataques, elija Do not grant the DRT access
to my account (No conceder al DRT acceso a mi cuenta) y, a continuación, elija Save settings (Guardar
configuración). De lo contrario, siga ejecutando los pasos que indicamos a continuación.
Note
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el
plan Enterprise Support.
1. Seleccione Create new role for the DRT to access my account (Crear nuevo rol para que el DRT
obtenga acceso a mi cuenta) o Choose an existing role for the DRT to access my account (Elegir un
rol existente para que el DRT obtenga acceso a mi cuenta).
Si decide utilizar un rol que ya existe, el rol también debe tener confianza en el elemento principal
del servicio drt.shield.amazonaws.com. Para obtener más información, consulte Elemento de la
política de JSON de IAM: Principal.
Puede cambiar el acceso y los permisos del DRT en cualquier momento siguiendo las instrucciones
indicadas en Edición de la configuración de AWS Shield Advanced (p. 288).
Para crear una alarma de CloudWatch, siga las instrucciones de Uso de alarmas de Amazon CloudWatch.
De forma predeterminada, Shield Advanced configura CloudWatch para alertarle después de tan solo un
indicador del posible evento DDoS. Si es necesario, puede utilizar la consola CloudWatch para cambiar
esta configuración para alertarle solo después de que se detecten varios indicadores.
Puede seguir desde este paso sin elegir configurar alarmas de CloudWatch. Sin embargo, esto reduce
significativamente su visibilidad de posibles eventos DDoS.
Note
Además de las notificaciones de Amazon SNS, también puede utilizar un panel de CloudWatch
para monitorizar la posible actividad DDoS. El panel recopila y procesa los datos sin formato
de Shield Advanced en métricas legibles y casi en tiempo real. Estas estadísticas se registran
durante un periodo de dos semanas, de forma que pueda acceder a información histórica y
obtener una mejor perspectiva sobre el rendimiento de su aplicación web o servicio. Para obtener
más información, consulte ¿Qué es CloudWatch en la Guía del usuario de Amazon CloudWatch.
Para obtener instrucciones sobre cómo crear un panel de CloudWatch, consulte Monitorear con
Amazon CloudWatch (p. 306). Para obtener más información acerca de métricas de Shield
Advanced específicas que puede añadir a su panel, consulte Métricas y alarmas de AWS Shield
Advanced (p. 309).
Después de configurar las alarmas de CloudWatch, le recomendamos que siga las instrucciones de Paso
6: Implementar reglas de AWS WAF (p. 283).
AWS proporciona plantillas configuradas previamente que incluyen un conjunto de reglas de AWS
WAF que puede personalizar para que se adapten mejor a sus necesidades. Estas plantillas están
Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de
seguridad de AWS WAF). AWS WAF se incluye con Shield Advanced sin costo adicional.
Grupos de reglas de AWS Marketplace
AWS WAF proporciona grupos de reglas de AWS Marketplace para ayudarle a proteger sus recursos.
Los grupos de reglas de AWS Marketplace son conjuntos de reglas predefinidas y listas para usar que
los vendedores de AWS y AWS Marketplace escriben y actualizan. Para obtener más información,
consulte Grupos de reglas administrados (p. 24).
AWS WAF para las 10 principales vulnerabilidades de aplicaciones web de OWASP
En este documento se describe cómo se puede utilizar AWS WAF para mitigar las vulnerabilidades
de aplicaciones definidas en la lista de 10 vulnerabilidades principales del proyecto OWASP (proyecto
abierto de seguridad de aplicaciones web). Esta lista muestra las categorías de defectos de seguridad
de aplicaciones más frecuentes. Para obtener más información, consulte AWS WAF Security
Automations (Automatizaciones de seguridad de AWS WAF).
Reglas administradas
AWS proporciona reglas administradas a los clientes de AWS WAF que están suscritos a AWS Shield
Advanced. El equipo de investigación de amenazas (TRT) de AWS es el encargado de escribir estas
reglas. Ayudan a protegerse contra la explotación de una amplia gama de vulnerabilidades, incluidas
las descritas en las publicaciones de OWASP y muchas vulnerabilidades y exposiciones comunes
(CVE). También proporcionan reglas de reputación IP que utilizan la inteligencia de amenazas de
Amazon para bloquear fuentes malintencionadas conocidas. No es necesario que realice ninguna
acción para recibir actualizaciones automáticas de las reglas administradas.
Para solicitar reglas administradas, abra un caso de “AWS Shield” en el AWS Support Center. Para
obtener más información sobre cómo abrir un caso de soporte de AWS, consulte Introducción a AWS
Support.
Como último paso para comenzar a usar Shield Advanced, revise el panel del entorno de amenazas
globales tal y como se describe en Paso 7: Monitoree el panel del entorno de amenazas globales.
(p. 284).
Si utiliza una política de AWS Firewall Manager Shield Advanced, no es necesario añadir recursos con
el procedimiento que se describe en esta sección. Si el recurso se inscribe en el ámbito de la política de
Firewall Manager, es decir, el recurso es del tipo correcto y tiene las etiquetas correctas tal y como se
define en la política, Firewall Manager lo incluye automáticamente dentro de su protección.
Important
Antes de realizar el procedimiento siguiente, debe llevar a cabo el procedimiento que se describe
en Paso 1: activar AWS Shield Advanced (p. 279).
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elija Protected resources.
3. Elija Add protected resources (Agregar recursos protegidos).
4. Elija los tipos de recursos y recursos que proteger, o escríbalos. En los recursos de Classic Load
Balancer y Balanceador de carga de aplicaciones, también debe elegir una región.
Puede elegir entre las opciones de la lista o escribir el nombre de recurso de Amazon (ARN) de los
recursos específicos que quiera proteger. Puede elegir o escribir cualquier combinación de tipos de
recursos y recursos.
Shield Advanced muestra un máximo de 100 recursos al mismo tiempo. Si tiene más de 100 recursos,
elija Next (Siguiente) para ver el siguiente tramo de lista.
Si desea proteger una instancia Amazon EC2, primero debe asociar una dirección IP elástica a la
instancia y, a continuación, elegir la dirección IP elástica como el recurso que desea proteger.
Note
Note
Si elige una dirección IP elástica como el recurso que desea proteger, Shield Advanced protege
cualquier recurso asociado a la dirección IP elástica, ya sea una instancia de Amazon EC2 o un
balanceador de carga de Elastic Load Balancing. Shield Advanced identifica automáticamente
el tipo de recurso asociado a la dirección IP elástica y aplica las medidas adecuadas para dicho
recurso, incluida la configuración de ACL de red específicas para dicha dirección IP elástica.
Para obtener más información sobre el uso de direcciones IP elásticas con sus recursos de AWS,
Versión de API 2019-07-29
285
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Eliminación de AWS Shield
Advanced desde un recurso de AWS
consulte la guía apropiada: Documentación de Amazon Elastic Compute Cloud o Documentación
de Elastic Load Balancing. Shield Advanced no es compatible con EC2-Classic.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elija Protected resources.
3. Elija el botón de opción que hay junto al recurso.
4. Elija Delete protection.
Note
Si tiene una alarma de Amazon CloudWatch configurada para esta protección, se ofrece la
opción para eliminar esta alarma junto con la protección. Si opta por no eliminar la alarma en
este momento, puede eliminarla más adelante con la consola de CloudWatch.
Estos pasos eliminan la protección de AWS Shield Advanced desde un recurso específico. No cancelan su
suscripción a AWS Shield Advanced. Se le seguirá cobrando por el servicio. Para obtener más información
acerca de su suscripción de AWS Shield Advanced, póngase en contacto con el AWS Support Center.
Para añadir una ACL web y una regla basada en frecuencia a un recurso protegido.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elija Protected resources.
a. Seleccione Create new web ACL (Crear nueva ACL web) en el menú desplegable.
b. Escriba un nombre. No se puede cambiar el nombre después de crear la ACL web.
c. Elija Create web ACL (Crear ACL web).
d. En la lista desplegable, seleccione Create new rule (Crear nueva regla).
e. Escriba un nombre.
f. Escriba un límite de frecuencia. Este es el número máximo de solicitudes que se permiten desde
una sola dirección IP durante un periodo de cinco minutos. El límite de frecuencia debe ser igual o
superior a 100.
g. Elija Create rule.
7. Elija la acción que se va a realizar si se activa la regla. Block (Bloquear) bloqueará la solicitud. Count
(Contar) permitirá la solicitud pero incrementará un contador que realiza un seguimiento del número de
veces que se activa esta regla.
8. Seleccione Apply web protections (Aplicar protecciones web).
9. Para omitir la página de alarmas de Amazon CloudWatch, desactive todas las casillas y haga clic en
Create alarms (Crear alarmas).
CloudWatch incurre en costos adicionales. Para obtener información acerca de los precios de
CloudWatch, consulte Precios de Amazon CloudWatch.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elija Protected resources.
3. Elija el botón de opción que hay junto al recurso.
4. Seleccione Manage existing protections (Administrar protecciones existentes).
5. Para omitir la página de regla basada en frecuencia, seleccione Continue (Continuar).
6. Para cada región que aparece en la tabla, elija un tema de Amazon SNS existente o, como alternativa,
cree un tema diferente. Para crear un tema de Amazon SNS, siga estos pasos:
• Elimine la protección como se describe en Eliminación de AWS Shield Advanced desde un recurso de
AWS (p. 286). Asegúrese de seleccionar la casilla de verificación situada junto a Also delete related
DDoSDetection alarm (Eliminar también la alarma de DDoSDetection correspondiente).
• Elimine la alarma mediante la consola de CloudWatch. El nombre de la alarma que va a eliminar
comenzará con DDoSDetectedAlarmForProtection.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Elija Summary (Resumen) en AWS Shield, en el panel de navegación.
3. Elija Edit (Editar) en DDoS response team (DRT) support (Soporte del equipo de respuesta contra
DDoS [DRT]) o en Emergency contacts (Contactos de emergencia).
4. Introduzca los cambios necesarios y elija Save (Guardar).
Note
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el
plan Enterprise Support.
Si el equipo de AWS Shield Advanced determina que el incidente es un ataque DDoS válido y que los
servicios subyacentes se ampliaron para absorber el ataque, AWS proporciona crédito en la cuenta para
los gastos generados por el ataque. Por ejemplo, si su uso normal de transferencia de datos de CloudFront
durante el periodo de ataque era de 20 GB, pero debido al ataque ha provocado cargos de 200 GB por
aumento de la transferencia de datos, AWS proporciona crédito para compensar el incremento de cargos
por transferencia de datos. AWS aplica automáticamente todos los créditos a sus facturas mensuales
futuras. Los créditos se aplican a AWS Shield y no se pueden usar para el pago de otros servicios de
AWS. Los créditos son válidos durante 12 meses.
Important
Para optar a un crédito de AWS, debe recibir su solicitud de crédito al final del segundo ciclo de
facturación después de que se haya producido el incidente.
Para solicitar su crédito, envíe una consulta de facturación a AWS Support Center con la siguiente
información:
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando
se utiliza Shield. En los siguientes temas, se le mostrará cómo configurar Shield para satisfacer sus
objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que le
ayudan a supervisar y proteger sus recursos de Shield.
Temas
• Protección de los datos en Shield (p. 289)
• Identity and Access Management en AWS Shield (p. 290)
• Registro y monitorización en Shield (p. 301)
• Validación de la conformidad en Shield (p. 301)
• Resiliencia en Shield (p. 302)
• Seguridad de la infraestructura en AWS Shield (p. 302)
ejecuta todos los servicios de AWS. AWS mantiene el control de los datos alojados en esta infraestructura,
incluidos los controles de configuración de la seguridad para el tratamiento del contenido y los datos
personales de los clientes. Los clientes de AWS y los socios de APN, que actúan como controladores o
procesadores de datos, son responsables de todos los datos personales que colocan en la nube de AWS.
Entidades de Shield, como protecciones, se cifran en reposo, excepto en determinadas regiones donde el
cifrado no está disponible, incluida China (Pekín) y China (Ningxia). Para cada región se utilizan claves de
cifrado únicas.
Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS y
configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que
a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. También
le recomendamos proteger sus datos de las siguientes formas:
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo
de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.
Autenticación
Puede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS: Cuando se crea por primera vez una cuenta de AWS, se comienza
con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos
de AWS de la cuenta. Esta identidad recibe el nombre de AWS de la cuenta de usuario raíz y se obtiene
acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para
crear la cuenta. Le recomendamos que no utilice usuario raíz en sus tareas cotidianas, ni siquiera
en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar
exclusivamente usuario raíz para crear el primer usuario de IAM. A continuación, guarde las credenciales
de usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración de
cuentas y servicios.
• Usuario de IAM: –un usuario de IAM es una identidad dentro de una cuenta de AWS que tiene permisos
personalizados específicos (por ejemplo, permisos para crear un una regla en Shield). Puede utilizar un
nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras de AWS, como
la Consola de administración de AWS, los foros de debate de AWS o el AWS Support Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para
cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación,
ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y
las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza
las herramientas de AWS, debe firmar usted mismo la solicitud. Shield admite Signature Version 4,
un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acerca
de la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General
Reference.
• Rol de IAM–: Los roles de IAM de Un rol de IAM es una identidad de IAM con permisos específicos
que puede crear en su cuenta. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una
identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no en
AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier
usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo
plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este
proporciona credenciales de seguridad temporales para la sesión de rol. con credenciales temporales
son útiles en las siguientes situaciones:
• Acceso de usuarios federados: – En lugar de crear un usuario de IAM, puede utilizar identidades
existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de
identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a
un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener
más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del
usuario de IAM.
• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizar
acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,
debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos que
son necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles de
servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando
se cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solo
dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede
crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permita
a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar
los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte
Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: – Puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan
solicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves de
acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición
de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia
contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales
Versión de API 2019-07-29
291
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Identity and Access Management
temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a
aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de acceso
Aunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear
los recursos de AWS Shield ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear una
protección de Shield o enumerar ataques.
En las secciones siguientes se describe cómo administrar los permisos de AWS Shield. Le recomendamos
que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS
Shield (p. 292)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS Shield (p. 296)
• Permisos necesarios de Shield para las acciones de la API (p. 300)
Por ejemplo, puede utilizar IAM con Shield para controlar qué usuarios de su cuenta de AWS pueden crear
una ACL web nueva.
Para obtener más información general sobre IAM, consulte la siguiente documentación:
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen
permisos y qué operaciones específicas desea permitir en esos recursos.
Temas
• Recursos y operaciones de AWS Shield (p. 293)
• Titularidad de los recursos (p. 293)
• Administración del acceso a los recursos (p. 294)
• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 295)
• Especificación de las condiciones de una política (p. 296)
Para permitir o denegar el acceso a un subconjunto de recursos de Shield, incluya el ARN del recurso en el
elemento resource de la política. Los ARN de Shield tienen el siguiente formato:
arn:aws:shield::account:resource/ID
Sustituya las variables account, resource e ID por valores válidos. Los valores válidos pueden ser los
siguientes:
Por ejemplo, los siguientes ARN especifican todas las protecciones de la cuenta 111122223333:
arn:aws:shield::111122223333:protection/*
Para obtener más información, consulte Recursos en la Guía del usuario de IAM.
AWS Shield proporciona un conjunto de operaciones para trabajar con recursos de Shield. Para obtener
una lista de operaciones disponibles, consulte Acciones.
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de Shield, su
cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de Shield,
el usuario podrá crear un recurso de Shield. Sin embargo, su cuenta de AWS, a la que pertenece el
usuario, será la propietaria del recurso de Shield.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de Shield, cualquier
persona que pueda asumir el rol podrá crear un recurso de Shield. Sin embargo, su cuenta de AWS, a la
que pertenece el rol, será la propietaria del recurso de Shield.
• Con AWS Shield, para crear una protección o describir un ataque asociado a un recurso específico, un
usuario debe tener acceso al recurso en sí mismo además de tener acceso al recurso de Shield. Por
ejemplo, para crear una protección para una distribución de Amazon CloudFront, el usuario necesita
acceso de lectura a la distribución que se va a proteger. Para describir un ataque contra una distribución
de CloudFront, el usuario necesita acceso de lectura a la distribución.
Las políticas de IAM asociadas a una identidad de IAM se conocen como políticas basadas en identidad
y las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS Shield solo
admite políticas basadas en identidad.
Temas
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
Si desea obtener más información sobre el uso de IAM para delegar permisos, consulte Administración
de accesos en la Guía del usuario de IAM.
AWS Shield permite el acceso a recursos de varias cuentas, pero no permite crear protecciones de
recursos de varias cuentas. Solo puede crear protecciones para los recursos desde la cuenta que posee
esos recursos.
{
"Version": "2016-06-02",
"Statement": [
{
"Sid": "ListProtections",
"Effect": "Allow",
"Action": [
"shield:ListProtections"
],
"Resource": "*"
}
]
}
Para obtener más información acerca del uso de políticas basadas en identidad con Shield, consulte
Uso de políticas basadas en identidad (políticas de IAM) para AWS Shield (p. 296). Para obtener más
información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades (usuarios, grupos y
roles) en la Guía del usuario de IAM.
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por
ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho
bucket. AWS Shield no admite políticas basadas en recursos.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al que
se aplican. Para obtener más información, consulte Recursos y operaciones de AWS Shield (p. 293).
• Acción – utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir
o denegar. Por ejemplo, con el permiso shield:CreateRuleGroup, los usuarios pueden realizar la
operación CreateRuleGroup de AWS Shield.
• Efecto–: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se
puede permitir o denegar. Si no concede acceso de forma explícita a un recurso, el acceso se deniega
implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que
un usuario no pueda tener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se asocia
esta política es la entidad principal implícita. AWS Shield no admite las políticas basadas en recursos.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte
Referencia de políticas de AWS IAM en la Guía del usuario de IAM.
Para ver una tabla de todas las acciones de la API de AWS Shield y los recursos a los que se aplican,
consulte Permisos necesarios de Shield para las acciones de la API (p. 300).
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición
específicas para Shield. No obstante, existen claves de condición que se aplican a todo AWS que puede
utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves
disponibles para condiciones en la Guía del usuario de IAM.
Le recomendamos que consulte primero los temas de introducción en los que se explican los
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS
Shield. Para obtener más información, consulte Información general sobre la administración de los
permisos de acceso a los recursos de AWS Shield (p. 292).
{
"Version": "2016-06-02",
"Statement": [
{
"Sid": "CreateFunctionPermissions",
"Effect": "Allow",
"Action": [
"shield:ListProtections",
"shield:DescribeProtection",
"shield:ListAttacks",
"shield:DescribeAttack"
],
"Resource": "*"
},
{
"Sid": "PermissionToPassAnyRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/*"
}
]
}
• La primera declaración concede permisos para consultar las estadísticas de las protecciones y acciones
de AWS Shield. La política especifica un comodín (*) como valor de Resource.
• La segunda declaración concede permisos para la acción de IAM iam:PassRole en funciones de IAM.
El carácter comodín (*) que aparece al final del valor Resource significa que la declaración concede
permisos para la acción iam:PassRole en cualquier rol de IAM. Para extender solo estos permisos
a un rol específico, reemplace el carácter comodín (*) en el ARN del recurso por el nombre de rol
específico.
Para ver una tabla de todas las acciones de la API de AWS Shield y los recursos a los que se aplican,
consulte Permisos necesarios de Shield para las acciones de la API (p. 300).
Temas
• Permisos necesarios para usar la consola de AWS Shield (p. 297)
• Políticas administradas (predefinidas) de AWS para AWS Shield (p. 297)
• Ejemplos de políticas administradas por el cliente (p. 298)
AWS Shield utiliza la política administrada AWSShieldDRTAccessPolicy de AWS que puede utilizar
para concederle al equipo de respuesta DDoS (DRT) de AWS Shield acceso a su cuenta. Esto permite
al DRT llevar a cabo acciones en su cuenta, para administrar sus reglas de AWS WAF y protecciones
de Shield. Para utilizarlo, cree un rol y páselo a la operación de la API de Shield, asociando el rol de
DRT. En la API, es AssociateDRTRole. En la CLI, es associate-drt-role. Para obtener más
información sobre esta política, consulte Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques
DDoS (p. 282).
Note
Para consultar estas políticas de permisos administrados por AWS, inicie sesión en la consola de
IAM y busque las políticas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos para
operaciones y recursos de API de AWS Shield. Puede asociar estas políticas personalizadas a los usuarios
o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles de IAM) que
crea para sus recursos de Shield.
Puede utilizar la consola para comprobar los efectos de cada política a medida que asocia la política
al usuario. En un primer momento, como el usuario no tiene permisos, no puede hacer nada más en la
consola. Cuando asocia políticas al usuario, puede comprobar que el usuario puede realizar diversas
operaciones en la consola.
Le recomendamos que utilice dos ventanas del navegador: una para crear el usuario y concederle
permisos y otra para iniciar sesión en la Consola de administración de AWS con las credenciales de
usuario y comprobar los permisos a medida que se los concede al usuario.
Para ver ejemplos que ilustran cómo crear un rol de IAM que puede utilizar como rol de ejecución en el
recurso de Shield, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo 1: Dar a los usuarios acceso de solo lectura a Shield, CloudFront y CloudWatch (p. 298)
• Ejemplo 2: Dar a los usuarios acceso completo a Shield, CloudFront y CloudWatch (p. 299)
En primer lugar, cree un usuario de IAM, añádalo a un grupo de IAM con permisos administrativos y, a
continuación, conceda permisos administrativos al usuario de IAM que ha creado. Ahora, puede acceder a
AWS mediante una URL especial y las credenciales de usuario.
Para obtener instrucciones, consulte Creación del primer grupo de usuarios y administradores de IAM en la
Guía del usuario de IAM.
Ejemplo 1: Dar a los usuarios acceso de solo lectura a Shield, CloudFront y CloudWatch
La siguiente política otorga a los usuarios acceso de solo lectura a los recursos asociados de Shield,
incluidos los recursos de Amazon CloudFront, y las métricas de Amazon CloudWatch. Es útil para los
usuarios que necesitan permiso para ver la configuración de las protecciones y los ataques de Shield
y para monitorizar las métricas en CloudWatch. Estos usuarios no pueden crear, actualizar ni eliminar
recursos de Shield.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"elasticloadbalancing:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"route53:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldReadOnly",
"Effect": "Allow",
"Action": [
"shield:List*",
"shield:Describe*",
"shield:Get*"
],
"Resource": "*"
}
]
}
La siguiente política permite a los usuarios realizar cualquier operación de Shield, realizar cualquier
operación en distribuciones web de CloudFront y monitorizar las métricas y una muestra de las solicitudes
de CloudWatch. Resulta muy útil para los usuarios que son administradores de Shield:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"elasticloadbalancing:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"route53:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldFullAccess",
"Effect": "Allow",
"Action": [
"shield:*"
],
"Resource": "*"
}
]
}
Recomendamos encarecidamente que configure la autenticación multifactor (MFA) para los usuarios
que tienen permisos administrativos. Para obtener más información, consulte Uso de Multi-Factor
Authentication (MFA) en AWS en la Guía del usuario de IAM.
Para especificar una acción, use el prefijo shield: seguido del nombre de operación de la API
(por ejemplo, shield:CreateProtection).
La siguiente lista solo incluye acciones que requieren permisos a nivel de recursos explícitos.
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS Shield para expresar
condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para
condiciones en la Guía del usuario de IAM.
Para cada acción, enumeramos las acciones y las especificaciones de recursos de política asociadas.
AssociateDRTLogBucket
Recurso: arn:aws:s3:::bucket_name/optional_object_key
AssociateDrtRole
Recurso: arn:aws:iam::account-id:role/role-id
CreateProtection
Recurso: arn:aws:shield::account:protection/ID
DeleteProtection
Recurso: arn:aws:shield::account:protection/ID
DescribeAttack
Recurso: arn:aws:shield::account:attack/ID
DescribeDrtAccess
Recurso: arn:aws:s3:::bucket_name/optional_object_key
DescribeProtection
Recurso: arn:aws:shield::account:protection/ID
DisassociateDRTLogBucket
Recurso: arn:aws:s3:::bucket_name/optional_object_key
Para obtener más información acerca de las acciones y los recursos de Shield, consulte el tema de la guía
de AWS Identity and Access Management Acciones definidas por AWS Shield.
Para obtener una lista completa de las acciones de la API disponibles para Shield, consulte Referencia de
la API de AWS Shield Advanced.
Con las alarmas de CloudWatch, puede ver una métrica determinada durante el periodo especificado.
Si la métrica supera un determinado umbral, CloudWatch envía una notificación a un tema de Amazon
SNS o política de AWS Auto Scaling. Para obtener más información, consulte Monitorear con Amazon
CloudWatch (p. 306).
Registros de AWS CloudTrail
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de
AWS en Shield. Mediante la información que recopila CloudTrail, se puede determinar la solicitud que
se envió a Shield, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo
la realizó y detalles adicionales. Para obtener más información, consulte Registro de llamadas a la API
con AWS CloudTrail (p. 311).
Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,
consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,
consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más
información, consulte la sección Descarga de informes en AWS Artifact.
Resiliencia en Shield
La infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Las
regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas
que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además
de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos
que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las
zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las
infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las zonas de disponibilidad y las regiones de AWS, consulte
Infraestructura global de AWS.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Shield a través de la red.
Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con
conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)
o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y
posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso
secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token
Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
AWS Shield Advanced ofrece monitorización y protección avanzadas para direcciones IP elásticas,
distribuciones de Amazon CloudFront, zonas alojadas de Amazon Route 53, balanceadores de carga de
Elastic Load Balancing o aceleradores de AWS Global Accelerator. Puede monitorizar y proteger hasta
un máximo de 1000 de cada uno de estos tipos de recursos por cuenta. Si desea aumentar estas cuotas,
póngase en contacto con el AWS Support Center.
El siguiente paso consiste en establecer un punto de referencia del desempeño de normal en su entorno.
Para ello se mide el desempeño en distintos momentos y bajo distintas condiciones de carga. A medida
que monitorice AWS WAF, Firewall Manager, Shield Advanced y los servicios relacionados, almacene
los datos de monitorización históricos para que pueda compararlos con los datos de rendimiento actual,
identificar los patrones de rendimiento normal y las anomalías en el rendimiento, así como desarrollar
métodos para la resolución de problemas.
Para AWS WAF, debe monitorizar como mínimo los siguientes elementos para establecer un punto de
referencia:
Temas
• Herramientas de monitorización (p. 304)
• Registro de llamadas a la API con AWS CloudTrail (p. 311)
Herramientas de monitorización
AWS proporciona varias herramientas que puede utilizar para monitorizar AWS WAF y AWS Shield
Advanced. Puede configurar algunas de estas herramientas para que monitoricen por usted, pero
otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de
monitorización en la medida de lo posible.
• – Alarms (Alarmas de Amazon CloudWatch): vigilan una única métrica durante el período especificado
y realizan una o varias acciones según el valor de la métrica relativo a un determinado umbral durante
varios períodos de tiempo. La acción es una notificación que se envía a un tema de Amazon Simple
Notification Service (Amazon SNS) o a una política de Auto Scaling de Amazon EC2. Las alarmas
invocan acciones únicamente para los cambios de estado prolongados. Las alarmas de CloudWatch
no invocarán acciones simplemente por tener un estado determinado. Es necesario que el estado haya
cambiado y se mantenga durante un número determinado de períodos. Para obtener más información,
consulte Monitorización de la actividad de CloudFront mediante CloudWatch
Note
Además de utilizar CloudWatch para monitorizar las métricas de AWS WAF y Shield Advanced tal y
como se describe en Monitorear con Amazon CloudWatch (p. 306), también debería usar CloudWatch
para los recursos de Amazon API Gateway y Elastic Load Balancing y las distribuciones de Amazon
CloudFront. Para obtener más información, consulte Seguimiento, registro y monitorización de una
API de API Gateway, Métricas de CloudWatch para su Balanceador de carga de aplicaciones y
Monitorización de la actividad de CloudFront con CloudWatch.
• Amazon CloudWatch Logs: monitorice, almacene y obtenga acceso a los archivos de registro de AWS
CloudTrail u otras fuentes. Para obtener más información, consulte ¿Qué es Amazon CloudWatch
Logs?.
• Amazon CloudWatch Events: automatice los servicios de AWS y responda automáticamente a
los eventos del sistema. Los eventos de los servicios de AWS llegan a Eventos de CloudWatch
prácticamente en tiempo real y puede especificar acciones automatizadas para cuando un evento
coincide con una de las reglas que ha escrito. Para obtener más información, consulte ¿Qué es Amazon
CloudWatch Events?
• Monitorización de registros de AWS CloudTrail–: compartir archivos de registro entre cuentas,
monitorizar archivos de registro de CloudTrail en tiempo real mediante su envío a CloudWatch Logs,
escribir aplicaciones de procesamiento de registros en Java y validar que sus archivos de registro no
hayan cambiado después de que CloudTrail los entregue. Para obtener más información, consulte
Registro de llamadas a la API con AWS CloudTrail (p. 311) y Trabajar con archivos de registro de
CloudTrail en la AWS CloudTrail User Guide.
• AWS Config: vea la configuración de los recursos de AWS en su cuenta de AWS, incluido cómo se
relacionan los recursos entre sí y cómo se configuraron en el pasado para que pueda ver cómo las
configuraciones y las relaciones cambian con el tiempo.
Para registrar los cambios de protección, habilite AWS Config para cada recurso al que desea realizar
un seguimiento. Para obtener más información, consulte Introducción a AWS Config en la Guía para
desarrolladores de AWS Config.
Debe habilitar AWS Config para cada región AWS que contiene los recursos de seguimiento. Puede
habilitar AWS Config de forma manual, o puede usar la plantilla de AWS CloudFormation "Habilitar AWS
Config" en Plantillas de ejemplo StackSets de AWS CloudFormation en la Guía del usuario de AWS
CloudFormation.
Si habilita AWS Config, se le factura según se detalla en la página Precios de AWS Config.
Note
Si ya tiene AWS Config habilitada para las regiones y los recursos necesarios, no es necesario
realizar ninguna acción. Los registros de AWS Config en relación con los cambios de protección a
sus recursos comenzar a rellenar automáticamente.
Después de habilitar AWS Config, utilice la región de US East (N. Virginia) en la consola deAWS Config
para ver el historial de cambios de configuración para recursos globales de AWS Shield Advanced.
Vea el historial de cambios para recursos regionales de AWS Shield Advanced a través de la consola de
AWS Config en las regiones de US East (N. Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU.
Oeste (Norte de California), Europa (Irlanda), Europa (Fráncfort), Asia Pacífico (Tokio) y Asia Pacífico
(Sídney).
estado prolongados. Las alarmas de CloudWatch no invocan acciones simplemente por tener un estado
determinado. Es necesario que el estado haya cambiado y se mantenga durante un número especificado
de períodos.
Las métricas y las alarmas de Amazon CloudWatch no están habilitadas en AWS Firewall
Manager.
Para ver las métricas de AWS WAF para CloudFront, debe elegir la región US East (N. Virginia).
3. En el panel de navegación, seleccione Metrics.
4. En la pestaña All metrics, elija el servicio correspondiente.
Métrica Descripción
Métrica Descripción
• Rule, WebACL
• RuleGroup, WebACL
• Rule, RuleGroup
AWS WAF para un Balanceador de carga de aplicaciones puede utilizar las siguientes combinaciones de
dimensiones:
Dimensión Descripción
Dimensión Descripción
Métrica Descripción
Unidades: bits
Unidades: paquetes
Métrica Descripción
Unidades: solicitudes
En los servicios globales Amazon CloudFront y Amazon Route 53, las métricas se notifican en la Región
EE.UU. Este (Norte de Virginia).
Shield Advanced publica la métrica DDoSDetected sin ninguna otra dimensión. Las demás métricas
incluyen las dimensiones de AttackVector adecuadas:
• ACKFlood
• ChargenReflection
• DNSReflection
• GenericUDPReflection
• MemcachedReflection
• MSSQLReflection
• NetBIOSReflection
• NTPReflection
• PortMapper
• RequestFlood
• RIPReflection
• SNMPReflection
• SSDPReflection
• SYNFlood
• UDPFragment
• UDPTraffic
• UDSReflection
Puede utilizar métricas de AWS Shield Advanced para alarmas de Amazon CloudWatch. Las alarmas
de CloudWatch envían notificaciones o realizan cambios automáticamente en los recursos que está
supervisando en función de las reglas que defina.
Para obtener instrucciones detalladas para la creación de una alarma de CloudWatch, consulte la Guía
del usuario de Amazon CloudWatch. Al crear la alarma en la consola de CloudWatch, después de elegir
Create an alarm (Crear una alarma), elija AWSDDOSProtectionMetrics para usar las métricas de Shield
Advanced. A continuación, puede crear una alarma basada en un volumen específico de tráfico o puede
activar una alarma siempre que una métrica sea distinta de cero. La segunda opción activa una alarma
para cualquier posible ataque observado por Shield Advanced.
Note
Las AWSDDOSProtectionMetrics están disponibles solo para los clientes de Shield Advanced.
Para obtener más información, consulte ¿Qué es CloudWatch en la Guía del usuario de Amazon
CloudWatch.
para que le avisen ante posibles ataques. Para crear notificaciones de Amazon SNS en Firewall Manager,
consulte Crear un tema de Amazon SNS en Firewall Manager (consola) (p. 228).
Para obtener más información sobre CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la AWS
CloudTrail User Guide.
CloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad de eventos
compatible en AWS WAF, Shield Advanced o Firewall Manager, dicha actividad se registra en un evento
de CloudTrail junto con los eventos de los demás servicios de AWS en Event history (Historial de eventos).
Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información,
consulte Visualización de eventos con el historial de eventos de CloudTrail.
Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AWS
WAF, Shield Advanced o Firewall Manager, cree un registro de seguimiento. Un registro de seguimiento
permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De forma predeterminada,
cuando se crea un registro de seguimiento en la consola, este se aplica a todas las regiones. El registro
de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos
de registro al bucket de Amazon S3 especificado. También puede configurar otros servicios de AWS
para analizar y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para
obtener más información, consulte los siguientes temas:
Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La información
de identidad del usuario le ayuda a determinar lo siguiente:
• Si la solicitud se realizó con las credenciales del nodo raíz o del usuario de IAM.
• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado
• Si la solicitud la realizó otro servicio de AWS.
Los siguientes son ejemplos de entradas de registro de CloudTrail para operaciones de ACL web de AWS
WAF.
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "principalId",
"arn": "arn:aws:sts::112233445566:assumed-role/Admin",
"accountId": "112233445566",
"accessKeyId": "accessKeyId",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "principalId",
"arn": "arn:aws:iam::112233445566:role/Admin",
"accountId": "112233445566",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-11-06T03:43:07Z"
}
}
},
"eventTime": "2019-11-06T03:44:21Z",
"eventSource": "wafv2.amazonaws.com",
"eventName": "CreateWebACL",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.0.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/78.0.3904.87 Safari/537.36",
"requestParameters": {
"name": "foo",
"scope": "CLOUDFRONT",
"defaultAction": {
"block": {}
},
"description": "foo",
"rules": [
{
"name": "foo",
"priority": 1,
"statement": {
"geoMatchStatement": {
"countryCodes": [
"AF",
"AF"
]
}
},
"action": {
"block": {}
},
"visibilityConfig": {
"sampledRequestsEnabled": true,
"cloudWatchMetricsEnabled": true,
"metricName": "foo"
}
}
],
"visibilityConfig": {
"sampledRequestsEnabled": true,
"cloudWatchMetricsEnabled": true,
"metricName": "foo"
}
},
"responseElements": {
"summary": {
"name": "foo",
"id": "ebbcb976-8d59-4d20-8ca8-4ab2f6b7c07b",
"description": "foo",
"lockToken": "67551e73-49d8-4363-be48-244deea72ea9",
"aRN": "arn:aws:wafv2:us-west-2:112233445566:global/webacl/foo/
ebbcb976-8d59-4d20-8ca8-4ab2f6b7c07b"
}
},
"requestID": "c51521ba-3911-45ca-ba77-43aba50471ca",
"eventID": "afd1a60a-7d84-417f-bc9c-7116cf029065",
"eventType": "AwsApiCall",
"apiVersion": "2019-04-23",
"recipientAccountId": "112233445566"
}
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AssumedRole",
"arn": "arn:aws:sts::112233445566:assumed-role/Admin/admin",
"accountId": "112233445566",
"accessKeyId": "accessKeyId",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AssumedRole",
"arn": "arn:aws:iam::112233445566:role/Admin",
"accountId": "112233445566",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-11-06T19:17:20Z"
}
}
},
"eventTime": "2019-11-06T19:18:28Z",
"eventSource": "wafv2.amazonaws.com",
"eventName": "GetWebACL",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.0.0.1",
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "principalId",
"arn": "arn:aws:sts::112233445566:assumed-role/Admin",
"accountId": "112233445566",
"accessKeyId": "accessKeyId",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "principalId",
"arn": "arn:aws:iam::112233445566:role/Admin",
"accountId": "112233445566",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-11-06T19:17:20Z"
}
}
},
"eventTime": "2019-11-06T19:20:56Z",
"eventSource": "wafv2.amazonaws.com",
"eventName": "UpdateWebACL",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.0.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/78.0.3904.87 Safari/537.36",
"requestParameters": {
"name": "foo",
"scope": "CLOUDFRONT",
"id": "ebbcb976-8d59-4d20-8ca8-4ab2f6b7c07b",
"defaultAction": {
"block": {}
},
"description": "foo",
"rules": [
{
"name": "foo",
"priority": 1,
"statement": {
"geoMatchStatement": {
"countryCodes": [
"AF"
]
}
},
"action": {
"block": {}
},
"visibilityConfig": {
"sampledRequestsEnabled": true,
"cloudWatchMetricsEnabled": true,
"metricName": "foo"
}
}
],
"visibilityConfig": {
"sampledRequestsEnabled": true,
"cloudWatchMetricsEnabled": true,
"metricName": "foo"
},
"lockToken": "67551e73-49d8-4363-be48-244deea72ea9"
},
"responseElements": {
"nextLockToken": "a6b54c01-7975-4e6d-b7d0-2653cb6e231d"
},
"requestID": "41c96e12-9790-46ab-b145-a230f358f2c2",
"eventID": "517a10e6-4ca9-4828-af90-a5cff9756594",
"eventType": "AwsApiCall",
"apiVersion": "2019-04-23",
"recipientAccountId": "112233445566"
}
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "principalId",
"arn": "arn:aws:sts::112233445566:assumed-role/Admin/sheqiang-Isengard",
"accountId": "112233445566",
"accessKeyId": "accessKeyId",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "principalId",
"arn": "arn:aws:iam::112233445566:role/Admin",
"accountId": "112233445566",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-11-06T19:17:20Z"
}
}
},
"eventTime": "2019-11-06T19:25:17Z",
"eventSource": "wafv2.amazonaws.com",
"eventName": "DeleteWebACL",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.0.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/78.0.3904.87 Safari/537.36",
"requestParameters": {
"name": "foo",
"scope": "CLOUDFRONT",
"id": "ebbcb976-8d59-4d20-8ca8-4ab2f6b7c07b",
"lockToken": "a6b54c01-7975-4e6d-b7d0-2653cb6e231d"
},
"responseElements": null,
"requestID": "71703f89-e139-440c-96d4-9c77f4cd7565",
"eventID": "2f976624-b6a5-4a09-a8d0-aa3e9f4e5187",
"eventType": "AwsApiCall",
"apiVersion": "2019-04-23",
"recipientAccountId": "112233445566"
}
{
"Records": [
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIEP4IT4TPDEXAMPLE",
"arn": "arn:aws:iam::777777777777:user/nate",
"accountId": "777777777777",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:14Z",
"eventSource": "waf.amazonaws.com",
"eventName": "CreateRule",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"name": "0923ab32-7229-49f0-a0e3-66c81example",
"changeToken": "l9434322-8685-4ed2-9c5b-9410bexample",
"metricName": "0923ab32722949f0a0e366c81example"
},
"responseElements": {
"rule": {
"metricName": "0923ab32722949f0a0e366c81example",
"ruleId": "12132e64-6750-4725-b714-e7544example",
"predicates": [
],
"name": "0923ab32-7229-49f0-a0e3-66c81example"
},
"changeToken": "l9434322-8685-4ed2-9c5b-9410bexample"
},
"requestID": "4e6b66f9-d548-11e3-a8a9-73e33example",
"eventID": "923f4321-d378-4619-9b72-4605bexample",
"eventType": "AwsApiCall",
"apiVersion": "2015-08-24",
"recipientAccountId": "777777777777"
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIEP4IT4TPDEXAMPLE",
"arn": "arn:aws:iam::777777777777:user/nate",
"accountId": "777777777777",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:22Z",
"eventSource": "waf.amazonaws.com",
"eventName": "GetRule",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"ruleId": "723c2943-82dc-4bc1-a29b-c7d73example"
},
"responseElements": null,
"requestID": "8e4f3211"-d548-11e3-a8a9-73e33example",
"eventID": "an236542-d1f9-4639-bb3d-8d2bbexample",
"eventType": "AwsApiCall",
"apiVersion": "2015-08-24",
"recipientAccountId": "777777777777"
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIEP4IT4TPDEXAMPLE",
"arn": "arn:aws:iam::777777777777:user/nate",
"accountId": "777777777777",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:13Z",
"eventSource": "waf.amazonaws.com",
"eventName": "UpdateRule",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"ruleId": "7237b123-7903-4d9e-8176-9d71dexample",
"changeToken": "32343a11-35e2-4dab-81d8-6d408example",
"updates": [
{
"predicate": {
"type": "SizeConstraint",
"dataId": "9239c032-bbbe-4b80-909b-782c0example",
"negated": false
},
"action": "INSERT"
}
]
},
"responseElements": {
"changeToken": "32343a11-35e2-4dab-81d8-6d408example"
},
"requestID": "11918283-0b2d-11e6-9ccc-f9921example",
"eventID": "00032abc-5bce-4237-a8ee-5f1a9example",
"eventType": "AwsApiCall",
"apiVersion": "2015-08-24",
"recipientAccountId": "777777777777"
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIEP4IT4TPDEXAMPLE",
"arn": "arn:aws:iam::777777777777:user/nate",
"accountId": "777777777777",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:28Z",
"eventSource": "waf.amazonaws.com",
"eventName": "DeleteRule",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"changeToken": "fd232003-62de-4ea3-853d-52932example",
"ruleId": "3e3e2d11-fd8b-4333-8b03-1da95example"
},
"responseElements": {
"changeToken": "fd232003-62de-4ea3-853d-52932example"
},
"requestID": "b23458a1-0b2d-11e6-9ccc-f9928example",
"eventID": "a3236565-1a1a-4475-978e-81c12example",
"eventType": "AwsApiCall",
"apiVersion": "2015-08-24",
"recipientAccountId": "777777777777"
}
]
}
• ListAttacks
• DescribeAttack
• CreateProtection
• DescribeProtection
• DeleteProtection
• ListProtections
• CreateSubscription
• DescribeSubscription
• GetSubscriptionState
• DeleteSubscription
Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La información
de identidad del usuario le ayuda a determinar lo siguiente:
etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a la
API públicas, por lo que no aparecen en ningún orden específico.
En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail, que ilustra las acciones
DeleteProtection y ListProtections.
[
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "1234567890987654321231",
"arn": "arn:aws:iam::123456789012:user/SampleUser",
"accountId": "123456789012",
"accessKeyId": "1AFGDT647FHU83JHFI81H",
"userName": "SampleUser"
},
"eventTime": "2018-01-10T21:31:14Z",
"eventSource": "shield.amazonaws.com",
"eventName": "DeleteProtection",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-cli/1.14.10 Python/3.6.4 Darwin/16.7.0 botocore/1.8.14",
"requestParameters": {
"protectionId": "12345678-5104-46eb-bd03-agh4j8rh3b6n"
},
"responseElements": null,
"requestID": "95bc0042-f64d-11e7-abd1-1babdc7aa857",
"eventID": "85263bf4-17h4-43bb-b405-fh84jhd8urhg",
"eventType": "AwsApiCall",
"apiVersion": "AWSShield_20160616",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789098765432123",
"arn": "arn:aws:iam::123456789012:user/SampleUser",
"accountId": "123456789012",
"accessKeyId": "1AFGDT647FHU83JHFI81H",
"userName": "SampleUser"
},
"eventTime": "2018-01-10T21:30:03Z",
"eventSource": "shield.amazonaws.com",
"eventName": "ListProtections",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "aws-cli/1.14.10 Python/3.6.4 Darwin/16.7.0 botocore/1.8.14",
"requestParameters": null,
"responseElements": null,
"requestID": "6accca40-f64d-11e7-abd1-1bjfi8urhj47",
"eventID": "ac0570bd-8dbc-41ac-a2c2-987j90j3h78f",
"eventType": "AwsApiCall",
"apiVersion": "AWSShield_20160616",
"recipientAccountId": "123456789012"
}
]
• AssociateAdminAccount
• DeleteNotificationChannel
• DeletePolicy
• DisassociateAdminAccount
• PutNotificationChannel
• PutPolicy
• GetAdminAccount
• GetComplianceDetail
• GetNotificationChannel
• GetPolicy
• ListComplianceStatus
• ListPolicies
Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La información
de identidad del usuario le ayuda a determinar lo siguiente:
En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail que ilustra la acción
GetAdminAccount-->.
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "1234567890987654321231",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/
SampleUser",
"accountId": "123456789012",
"accessKeyId": "1AFGDT647FHU83JHFI81H",
"sessionContext": {
"attributes": {
"mfaAuthenticated":
"false",
"creationDate":
"2018-04-14T02:51:50Z"
},
"sessionIssuer": {
"type": "Role",
"principalId":
"1234567890987654321231",
"arn":
"arn:aws:iam::123456789012:role/Admin",
"accountId":
"123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2018-04-14T03:12:35Z",
"eventSource": "fms.amazonaws.com",
"eventName": "GetAdminAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "72.21.198.65",
"userAgent": "console.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"requestID": "ae244f41-3f91-11e8-787b-dfaafef95fc1",
"eventID": "5769af1e-14b1-4bd1-ba75-f023981d0a4a",
"eventType": "AwsApiCall",
"apiVersion": "2018-01-01",
"recipientAccountId": "123456789012"
}
Si las alarmas DDoS en CloudWatch indican un posible ataque de la capa 7, tiene dos opciones:
• Investigue y mitigue el ataque por su cuenta. Si determina que la actividad representa un ataque DDoS,
puede crear sus propias reglas de AWS WAF para mitigar el ataque. AWS WAF se incluye con AWS
Shield Advanced sin ningún costo adicional. AWS proporciona plantillas preconfiguradas para empezar
rápidamente. Las plantillas incluyen un conjunto de reglas de AWS WAF, diseñadas para bloquear
ataques habituales desde Internet. Puede personalizar las reglas para cubrir las necesidades de su
negocio. Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de
seguridad de AWS WAF) y Creación de una ACL web (p. 17).
Si utiliza AWS Firewall Manager, puede añadir estas reglas a una política de Firewall Manager-AWS
WAF.
• Si es cliente de AWS Shield Advanced, también tiene la opción de contactar con el AWS Support Center
para obtener ayuda con las mitigaciones. Los casos críticos y urgentes se redirigen directamente a
expertos DDoS. Con AWS Shield Advanced, pueden escalarse casos complejos al DRT, que tiene
amplia experiencia en la protección de AWS, Amazon.com y sus filiales.
Para obtener soporte técnico de DRT, contacte con el AWS Support Center. Seleccione las siguientes
opciones:
• Tipo de caso: soporte técnico
• Servicio: denegación de servicio distribuido (DDoS)
• Categoría: entrada a AWS
• Gravedad: elija la opción correspondiente
Cuando hable con nuestro representante, explique que es cliente de AWS Shield Advanced y está
experimentando un posible ataque DDoS. Nuestro representante remitirá su llamada a los expertos
DDoS adecuados. Si abre un caso con el AWS Support Center mediante el tipo de servicio Distributed
Denial of Service (DDoS), puede hablar directamente con un experto DDoS por chat o teléfono. Los
ingenieros de soporte técnico de DDoS pueden ayudarle a identificar los ataques, recomendar mejoras a
su arquitectura de AWS y proporcionar orientación en el uso de servicios de AWS para la mitigación de
ataques DDoS.
Important
En lo que respecta a los ataques de la capa 7, el DRT puede ayudarle a analizar la actividad
sospechosa y mitigar el problema. Esta mitigación suele requerir la creación o actualización
por parte del DRT de listas de control de acceso web AWS WAF (ACL web) en su cuenta.
Sin embargo, necesitan su permiso para hacerlo. Recomendamos que, como parte de la
habilitación de AWS Shield Advanced, siga los pasos en Paso 4: (Opcional) Autorizar al
equipo de respuesta a ataques DDoS (p. 282) para proporcionar al DRT de forma proactiva los
permisos necesarios. Proporcionar permiso de antemano ayuda a evitar retrasos si se produce
un ataque real.
También puede ponerse en contacto con el DRT antes o durante un posible ataque para desarrollar e
implementar medidas personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener
Versión de API 2019-07-29
322
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
Revisión de incidentes de DDoS
abiertos los puertos 80 y 443, puede trabajar con el DRT para preconfigurar una ACL web que permita
("Allow") únicamente los puertos 80 y 443.
Debe autorizar y contactar con el DRT en el nivel de cuenta. Es decir, si utiliza Shield Advanced en una
política de Firewall Manager-Shield Advanced, el propietario de la cuenta, no el administrador de Firewall
Manager, debe contactar con el DRT para obtener soporte técnico. El administrador de Firewall Manager
puede contactar con el DRT solo para las cuentas de las que sea propietario.
Estas métricas e informes están disponibles solo para los clientes de AWS Shield Advanced. Para activar
AWS Shield Advanced, consulte Para activar AWS Shield Advanced (p. 279).
Puede ver las métricas acerca de los ataques casi en tiempo real, entre las que se incluyen las siguientes:
• Tipo de ataque
• Hora de inicio
• Duración
• Paquetes bloqueados por segundo
• Muestras de solicitudes HTTP
Están disponibles detalles de incidentes activos y antiguos que se han producido en los últimos 12 meses.
• Direcciones IP
• Direcciones URL
• Remitentes
• ASN
• Países
• Agentes de usuario
Utilice esta información para crear reglas de AWS WAF que le ayuden a evitar futuros ataques. Por
ejemplo, si observa que tiene muchas solicitudes procedentes de un país con el que normalmente no hace
negocios, puede crear una regla de AWS WAF para bloquear las solicitudes de ese país.
Note
Pruebe siempre las reglas utilizando inicialmente Count en lugar de Block. Cuando esté seguro
de que la nueva regla identifica las solicitudes correctas, puede modificarla para que bloquee
dichas solicitudes.
1. Inicie sesión en la consola de administración de AWS y abra la consola de Shield Advanced en https://
console.aws.amazon.com/wafv2/shield#/attacks.
La página Incidents (Incidentes) proporciona los siguientes posibles estados de los eventos actuales y
pasados:
Mitigación en curso
Indica que se ha identificado un posible ataque de capa 3 o 4 y que AWS está intentando resolver el
problema.
Mitigado
Indica que se ha identificado un posible ataque de capa 3 o 4. AWS respondió al ataque y el incidente
parece haber terminado.
Identificado (continuo)
Indica que se ha identificado un posible ataque a la capa 7. AWS no puede abordar los ataques a
la capa 7, debe diseñar sus propios procesos de mitigación de capa. Para obtener más información
sobre cómo responder a posibles ataques de la capa 7, consulte Respuesta a los ataques
DDoS (p. 322).
Identificado (subsidiado)
Indica que se ha identificado un posible ataque de capa 7 y que parece haber terminado.
Si determina que se está produciendo un posible ataque, puede contactar con el DRT a través del AWS
Support Center o tratar de mitigar el ataque por su cuenta creando una nueva lista de control de acceso
web (ACL web).
Para obtener más información, consulte Creación de una ACL web (p. 17).
AWS proporciona plantillas preconfiguradas para empezar rápidamente. Las plantillas incluyen un conjunto
de reglas de AWS WAF que puede personalizar y utilizar para bloquear ataques habituales desde Internet.
Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de seguridad
de AWS WAF).
El panel del entorno de amenazas globales proporciona un resumen casi en tiempo real del panorama
de amenazas globales de AWS, el cual incluye el mayor ataque, los vectores de ataque principales y la
cantidad relativa de ataques importantes. Puede personalizar la vista del panel para diferentes intervalos
de tiempo a fin de consultar el historial de los ataques DDoS importantes.
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. En el panel de navegación, en AWS Shield, elija Global threat environment.
3. Elija un periodo de tiempo.
Puede utilizar la información del panel de entorno de amenazas globales para comprender mejor el
panorama de amenazas y ayudarle a tomar decisiones para proteger sus recursos de AWS.
Temas
• Uso de la SDKs AWS (p. 326)
• Hacer peticiones de HTTPS a AWS WAF o Shield Advanced (p. 326)
• Respuestas HTTP (p. 328)
• Autenticación de solicitudes (p. 329)
URI de solicitud
La solicitud URI siempre es un signo de barra diagonal sencilla, /.
Encabezados HTTP
AWS WAF y Shield Advanced requieren que figure la siguiente información en el encabezado de una
solicitud HTTP:
Host (requerida)
Punto de conexión que especifica dónde se crean los recursos. Los distintos puntos de conexión
pueden encontrarse en Regiones y puntos de enlace de AWS. Por ejemplo, el valor del encabezado
del Host para AWS WAF en una distribución de CloudFront es waf.amazonaws.com:443.
x-amz-date: 20151007T174952Z
Debe incluir x-amz-date o Date. (Algunas bibliotecas de cliente de HTTP no permiten configurar el
encabezado de la Date). Cuando hay un encabezado de x-amz-date, AWS WAF ignora cualquier
encabezado de Date al autenticar la solicitud.
La marca temporal debe estar en el intervalo de 15 minutos de la hora del sistema AWS a la que se
recibe la solicitud. En caso contrario, la solicitud falla y emite el código de error RequestExpired
para impedir que otra persona reproduzca sus solicitudes.
Authorization (requerida)
Información necesaria para solicitar la autenticación. Para obtener más información sobre la creación
de este encabezado, consulte Autenticación de solicitudes (p. 329).
X-Amz-Target (requerida)
AWSWAF_20150824.CreateWebACL
Content-Type (condicional)
Especifica que el tipo de contenido es JSON, así como la versión de JSON, tal y como se muestra en
el ejemplo siguiente:
Content-Type: application/x-amz-json-1.1
Condición: obligatoria si el texto de la solicitud contiene información (la mayoría de los kits de
herramientas agregan este encabezado automáticamente).
A continuación se muestra un ejemplo de un encabezado en una solicitud de HTTP para crear una ACL
web en AWS WAF:
POST / HTTP/1.1
Host: waf.amazonaws.com:443
X-Amz-Date: 20151007T174952Z
Authorization: AWS4-HMAC-SHA256
Credential=AccessKeyID/20151007/us-east-2/waf/aws4_request,
SignedHeaders=host;x-amz-date;x-amz-target,
Signature=145b1567ab3c50d929412f28f52c45dbf1e63ec5c66023d232a539a4afd11fd9
X-Amz-Target: AWSWAF_20150824.CreateWebACL
Accept: */*
Content-Type: application/x-amz-json-1.1; charset=UTF-8
Content-Length: 231
Connection: Keep-Alive
En el siguiente ejemplo se utiliza una única declaración JSON simple para actualizar IPSet (conocido en
la consola como una condición de coincidencia de IP) para incluir la dirección IP 192.0.2.44 (representada
en notación CIDR como 192.0.2.44/32):
POST / HTTP/1.1
Host: waf.amazonaws.com:443
X-Amz-Date: 20151007T174952Z
Authorization: AWS4-HMAC-SHA256
Credential=AccessKeyID/20151007/us-east-2/waf/aws4_request,
SignedHeaders=host;x-amz-date;x-amz-target,
Signature=145b1567ab3c50d929412f28f52c45dbf1e63ec5c66023d232a539a4afd11fd9
X-Amz-Target: AWSWAF_20150824.UpdateIPSet
Accept: */*
Content-Type: application/x-amz-json-1.1; charset=UTF-8
Content-Length: 283
Connection: Keep-Alive
{
"ChangeToken": "d4c4f53b-9c7e-47ce-9140-0ee5ffffffff",
"IPSetId": "69d4d072-170c-463d-ab82-0643ffffffff",
"Updates": [
{
"Action": "INSERT",
"IPSetDescriptor": {
"Type": "IPV4",
"Value": "192.0.2.44/32"
}
}
]
}
Respuestas HTTP
Todas las acciones de la API de AWS WAF y Shield Advanced incluyen datos con formato JSON en la
respuesta.
Estos son algunos encabezados importantes en la respuesta HTTP y cómo debe controlarlos en su
aplicación, si procede:
HTTP/1.1
Este encabezado viene seguido de un código de estado. El código de estado 200 indica el éxito de la
operación.
Tipo: String
x-amzn-RequestId
Valor creado por AWS WAF o Shield Advanced que identifica de forma exclusiva la solicitud; por
ejemplo, K2QH8DNOU907N97FNA2GDLL8OBVV4KQNSO5AEMVJF66Q9ASUAAJG. Si tiene un problema
con AWS WAF, AWS puede utilizar este valor para solucionarlo.
Tipo: String
Tipo: String
Date
La fecha y la hora que AWS WAF o Shield Advanced dan como respuesta, por ejemplo, miércoles, 07
de octubre de 2015 12:00:00 GMT.
Tipo: String
Respuestas de error
Si una solicitud provoca un error, la respuesta HTTP contiene los siguientes valores:
Autenticación de solicitudes
Si utiliza un lenguaje para el que AWS proporciona un SDK, le recomendamos que utilice el SDK. Todos
los SDK de AWS simplifican enormemente el proceso de firmar solicitudes y permiten ahorrar mucho
tiempo frente al uso dela API de AWS WAF o Shield Advanced. Además, los SDK se integran fácilmente
con su entorno de desarrollo y proporcionan acceso sencillo a los comandos relacionados.
AWS WAF y Shield Advanced requieren que autentifique todas las solicitudes enviadas, firmándolas. Para
firmar una solicitud, se calcula una firma digital mediante una función hash criptográfica que proporciona un
valor hash basado en la entrada. La entrada incluye el texto de la solicitud y su clave de acceso secreta. La
función hash devuelve un valor hash que se incluye en la solicitud como la firma. La firma forma parte del
encabezado de la Authorization de la solicitud.
Tras recibir la solicitud, AWS WAF o Shield Advanced recalcula la firma utilizando la misma función hash
y los datos especificados para firmar la solicitud. Si la firma resultante coincide con la firma de la solicitud,
AWS WAF o Shield Advanced procesa la solicitud. De lo contrario, la solicitud es rechazada.
AWS WAF y Shield Advanced permiten realizar la autenticación con AWS Signature Version 4. El proceso
para calcular una firma se puede dividir en tres tareas:
Crear su solicitud HTTP en formato canónico como se describe en Tarea 1: Creación de una solicitud
canónica para Signature Version 4 en Referencia general de Amazon Web Services.
Crear una cadena que se utilizará como uno de los valores de entrada de la función hash criptográfica.
La cadena, llamada cadena para firmar, es una concatenación de los valores siguientes:
• Nombre del algoritmo de hash
• Fecha de solicitud
• Cadena en el ámbito de credenciales
• Solicitud estandarizada (canónica) desde la tarea anterior
La cadena del ámbito de credenciales es una concatenación de fecha, región e información del
servicio.
Por ejemplo:
X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20130501/us-east-2/waf/aws4_request
Tarea 3: Crear una firma
Crear una firma para su solicitud mediante una función hash criptográfica que acepta dos cadenas de
entrada:
• La cadena para firmar, desde la Tarea 2.
• Una clave derivada. La clave derivada se calcula a partir de la clave de acceso secreta, utilizando
el ámbito de credencial para crear una serie de códigos de autenticación de mensajes basados en
hash (HMAC).
Recursos
Los recursos relacionados siguientes pueden serle de ayuda cuando trabaje con este servicio.
Recursos de AWS
Varias guías útiles, foros y otros recursos están disponibles en Amazon Web Services.
• Foros de debate de AWS WAF–: un foro de la comunidad en el que los desarrolladores pueden debatir
aspectos técnicos relacionados con AWS WAF.
• Foros de debate de Shield Advanced–: un foro de la comunidad en el que los desarrolladores pueden
debatir aspectos técnicos relacionados con Shield Advanced.
• Información de producto de AWS WAF Página web principal para obtener información sobre –, incluidos
precios, características, etc.AWS WAF
• Información de producto de Shield Advanced Página web principal para obtener información sobre –,
incluidos precios, características, etc.Shield Advanced
Historial de revisión
update-history-change update-history-description update-history-date
Nueva opción de Firewall Firewall Manager tiene una January 14, 2020
Manager para la política de AWS nueva opción para las políticas
WAF de AWS WAF. Ahora puede
elegir eliminar todas las
asociaciones ACL web existentes
de los recursos dentro del ámbito
antes de asociar las nuevas ACL
web de la política.
Nueva opción de Firewall Firewall Manager tiene una January 14, 2020
Manager de política de auditoría nueva opción de políticas de
de uso del grupo de seguridad auditoría de uso del grupo
de seguridad. Ahora puede
establecer un número mínimo
de mínimo que un grupo de
seguridad debe permanecer
sin uso antes de que se
considere no conforme. De
forma predeterminada, esta
configuración de minutos es cero.
Integración de AWS Firewall AWS Firewall Manager ahora December 18, 2019
Manager con AWS Security Hub crea hallazgos para los recursos
que no son conformes y para
los ataques y los envía a AWS
Security Hub.
Compatibilidad con AWS Firewall Se ha agregado soporte para March 15, 2019
Manager para AWS Shield Shield Advanced para Firewall
Advanced Manager.
Control en el nivel de regla en A partir de ahora, puede excluir December 12, 2018
grupos de reglas reglas individuales de los grupos
de reglas de AWS Marketplace,
así como de sus propios grupos
de reglas.
Compatibilidad con AWS WAF AWS WAF ahora protege la API October 25, 2018
para Amazon API Gateway de API Gateway.
Registro de AWS WAF Habilite el registro para obtener August 31, 2018
información detallada sobre el
tráfico que analiza su ACL web.
Actualizaciones anteriores
En la siguiente tabla se describen los cambios importantes en cada versión de la Guía para
desarrolladores de AWS WAF.
Update 24/08/2016 Tutorial sobre sitios web resistentes a ataques DDoS Octubre de
2017
Nuevas 24/08/2015 A partir de ahora, puede registrar todas las llamadas 28 de abril
características a la API de AWS WAF mediante AWS CloudTrail, el de 2016
servicio de AWS que registra las llamadas a la API de
su cuenta y le envía archivos de log en su bucket de
S3. Los registros de CloudTrail pueden utilizarse para
habilitar el análisis de seguridad, realizar el seguimiento de
cambios en sus recursos de AWS y ayudar en auditorías
de conformidad. La integración de AWS WAF y CloudTrail
permite determinar qué solicitudes se han hecho a la API
de AWS WAF, la dirección IP de origen desde la que se ha
hecho cada solicitud, quién la ha hecho, cuándo y mucho
más.
Nuevas 24/08/2015 Ya puede utilizar AWS WAF para permitir, bloquear o 29 de marzo
características contar solicitudes web que parezcan contener scripts de 2016
maliciosos, conocidos como los scripts entre sitios o
XSS. Los atacantes a veces insertan scripts maliciosos
en solicitudes web para aprovechar las vulnerabilidades
de las aplicaciones web. Para obtener más información,
consulte Declaración de regla de ataques de scripting
entre sitios (p. 46).
Nuevas 24/08/2015 En esta versión, AWS WAF añade las siguientes 27 de enero
características características: de 2016
AWS Glossary
For the latest AWS terminology, see the AWS Glossary in the AWS General Reference.